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内 容 简 介 


本 书 系统 、 全 面 地 介绍 了 Linux 系统 中 服务 器 的 架设 和 配置 方法 ， 全 书 共 分 16 章 ， 内 容 包括 Linux 
简介 和 安装 、Linux 基本 网 络 配置 、Linux 防火 墙 、 远 程控 制 、NFS 和 NIS、DHCP 服务 器 、Web 服务 器 、 
FTP 服务 器 、 电 子 邮件 服务 器 、MySQL 数据 库 、LDAP 目录 服务 、Samba 服务 器 、 网 络 时 间 服 务 器 、 网 络 
服务 器 监控 等 。 


本 书 在 介绍 每 种 Linux 服务 器 的 架设 之 前 , 首先 介绍 相关 的 基础 理论 , 然后 在 实际 的 场景 中 介绍 Linux 


服务 器 的 架设 和 配置 ， 以 具体 问题 的 求解 为 导向 ， 以 便于 读者 掌握 具体 章节 的 重点 及 提高 实际 操作 能 力 。 


本 书 结构 清晰 、 易 教 易 学 、 实 例 丰 富 、 可 操作 性 强 、 学 以 致 用 ， 对 易 混 淆 和 实用 性 强 的 内 容 进 行 了 重点 提 
示 和 讲解 ， 可 作为 大 中 专 院 校 的 教材 和 各 类 培训 班 的 教材 ， 也 适合 网 络 管理 员 及 使 用 Linux 的 科技 人 员 参 


考 阅 读 。 


本 书 配 有 光盘 ， 光 盘 中 附 有 视频 教学 软件 ， 并 提供 架设 Linux 服务 器 的 常用 软件 ， 以 及 一 些 使 朋 


脚本 和 程序 源 代 码 。 
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策划 初衷 


网 管 员 (Network Administraton) 是 国家 劳动 和 社会 保障 部 近年 颁布 的 第 四 批 国家 职业 标 
准 中 明确 规定 的 一 个 新 兴 职 业 。 网 管 员 职 业 要 求 从 业者 具备 一 系列 专业 、 高 端的 计算 机 及 
网 络 操作 技能 。 

为 了 给 广大 网 管 员 提供 一 套 标准 实用 的 高 效 实战 教材 ， 清 华 大 学 出 版 社 在 广泛 调研 与 
充分 论证 的 基础 上 ， 聘 请 了 国内 著名 院 校 资深 学 者 和 实战 经 验 丰 富 的 网 管 专家 ， 历 时 18 个 
月 精心 打造 了 这 套 《 网 管 实战 宝典 》 系 列 从 书 。 本 从 书 由 网 管 员 的 职业 应 用 切入 ， 根 据 网 
管 员 的 行业 内 容 细 划 科目 ， 以 实际 工作 的 项 目 案例 为 主线 ， 解 决 实际 应 用 中 可 能 出 现 的 问 
题 ， 是 目前 市 面 上 惟一 从 “网 管 员 职 业 应 用 案例 实战 ”角度 切入 的 精品 丛书 。 本 套 丛书 全 


面 介绍 网 络 管理 、 设 计 与 维护 的 热点 应 用 案例 ， 齐 析 透 彻 ， 确 保 技术 的 先进 性 、 实 用 性 和 
深入 性 ， 是 网 络 管理 员 必 备 的 实践 读物 。 


首 推 书目 


本 套 丛书 首 批 推出 10 本 。 

(1) 家庭、 宿舍 、 小 型 企业 、 商 务 、 网 吧 局 域 网 一 本 通 
(2) 中 型 企业 局 域 网 一 本 通 

Q) 网 络 规划 、 设 计 与 配置 

(4) Windows Server 2003 配置 与 管理 

(5) Windows Server 2003 服务 器 架设 与 管理 
(6) 网 络 管理 工具 使 用 大 全 

(7) 网 络 安全 大 全 

(8) Linux 服务 器 架设 与 管理 

(9) 网 络 故障 排除 与 维护 技巧 (Windows 版 ) 
(10) 网 络 故 障 排 除 与 维护 技巧 (Linux 版 ) 


a Linux 服务 器 架设 与 管理 回 


丛书 特色 


本 丛书 具有 以 下 主要 特色 。 
1. 针对 性 


从 网 管 员 职 业 应 用 切入 ， 以 网 管 员 的 行业 内 容 细 划 科目 ， 所 介绍 的 内 容 紧 紧 围绕 网 管 
员 必 备 的 知识 与 技能 展开 ， 从 而 突出 针对 性 。 


2. 实用 性 


以 实际 的 项 目 案例 为 主线 ， 解 决 实际 应 用 中 可 能 出 现 的 问题 ， 不 仅仅 是 理论 上 的 介绍 。 
这 些 应 用 案例 是 专业 人 士 多 年 的 网 管 实战 经 验 总 结 ， 对 读者 有 最 直接 、 最 宝贵 的 指导 意义 。 


3. 可 操作 性 


本 从 书 在 介绍 各 种 实际 应 用 配置 方案 时 ， 都 以 图 解 、 截 屏 等 方式 与 清晰 的 步 又 相 结 合 ， 
并 着 重 强调 了 各 步 的 配置 细节 ， 方 便 读 者 按 步骤 操作 ， 以 便 快速 掌握 案例 操作 过 程 。 


4. 先进 性 


本 丛书 所 介绍 的 各 种 网 络 技术 和 方案 均 是 当前 最 主流 或 最 新 的 ， 读 者 通过 阅读 本 丛书 
即 可 了 解 符合 实际 的 网 络 技术 与 应 用 方案 。 

5. 深入 性 

丛书 中 的 应 用 案例 讲解 细致 入 微 ， 分 析 透 彻 ， 过 程 完整 ， 从 而 能 够 确保 读者 完全 理解 
与 掌握 ， 以 便 在 实际 工作 中 应 用 和 借鉴 。 

6. TEGERE 

丛书 以 大 量 点 评 与 拓展 、 注 意 、 提 示 等 特色 段落 为 辅助 ， 帮 助 读 者 加 深 理解 关键 技术 ， 
使 读者 学 得 轻松 、 记 得 深刻 、 用 得 灵活 。 
7. 配 视频 光盘 


每 本 图 书 都 配 有 多 媒体 光盘 ， 光 盘 将 案例 的 操作 步骤 录制 成 视频 教学 软件 ， 读 者 只 需 
根据 视频 教学 软件 即 可 自己 动手 实践 操作 ， 迅 速 提 高 动手 能 力 和 技术 水 平 。 同 时 ， 丛 书 将 
图 书 中 相关 的 配置 文件 一 并 附 在 光盘 之 中 。 


读者 对 象 


这 套 《 网 管 员 实战 宝典 》 可 作为 有 志 于 从 事 网 络 管理 职业 的 读者 自学 实践 教材 ， 也 可 
作为 大 专 院 校 计算 机 相关 专业 的 教材 或 相关 师 生 的 参考 书 以 及 网 络 培训 教材 。 


。II。 


创作 团队 


我 们 一 直 深信 : 一 流 的 团队 可 以 奉献 一 流 的 作品 ， 成 就 一 流 的 读者 。 本 丛书 创作 团队 
来 源 于 著名 院 校 资深 学 者 、 实 战 经 验 丰富 的 网 管 专家 ， 他 们 长 期 工作 于 网 管 一 线 ， 有 多 年 
的 网 络 管理 与 设计 经 历 ， 经 验 丰富 ， 实 力 雄 厚 。 


演示 光盘 
从 书 中 应 用 案例 的 操作 过 程 以 视频 的 方式 实录 在 光盘 中 ， 如 同 专家 亲临 现场 ， 手 把 手 


教会 读者 网 络 服务 的 搭建 和 网 络 设备 的 配置 等 操作 。 另 外 ， 光 盘 中 还 含有 相关 的 实用 资 
源 包 。 


互动 交流 


读者 的 进步 就 是 我 们 的 心愿 。 本 丛书 愿 为 读者 提供 全 面 的 技术 支持 ， 服 务 方式 包括 以 
下 方面 。 

e ”技术 讲座 。 将 在 适当 的 时 间 组 织 专家 进行 技术 巡 讲 ， 介 绍 最 新 的 技术 并 当面 解答 
读者 的 疑问 。 

e 版 本 升级 。 本 从 书 将 跟踪 最 新 网 络 技 术 发 展 动态 ， 及 时 更 新 版 本 ， 为 读者 提供 最 
新 的 网 络 技术 。 

e ”问题 解答 。 如 果 您 在 阅读 本 从 书 过 程 中 发 现任 何 问题 或 疑问 ， 或 有 意见 和 建议 ， 
请 发 邮件 至 Book21Press@126.com， 我 们 将 及 时 地 为 您 提供 解决 方案 。 


特别 致谢 


在 此 ， 我 们 对 丛书 所 选用 的 参考 文献 的 著作 者 ， 及 丛书 所 引用 网 站 资源 及 其 他 相关 资 
源 的 著作 者 表示 真诚 的 感谢 ， 并 感谢 为 本 丛书 出 版 提供 帮助 的 各 界 人 士 。 


知识 是 一 座 宝 库 ， 而 实践 是 打开 宝库 的 钥匙 。 
从 别人 成 功 的 经 验 中 学 习 , 是 获取 知识 的 捷径 。 
我 们 乐意 与 您 一 同 分 享 成 功 的 网 管 实践 经 验 。 


一 一 公 书 编 委 会 


"Ie. 


当今 时 代 是 网 络 的 时 代 ,， 以 Internet 技术 为 基础 的 计算 机 网 络 已 成 为 人 们 生活 中 最 重要 
的 基础 设施 之 一 ， 因 此 如 何在 互联 网 上 架设 各 种 功能 的 服务 器 成 为 一 项 实用 而 必需 的 技术 。 
Linux 作为 一 种 免费 的 操作 系统 ， 以 其 稳定 的 性 能 、 开 源 的 理念 逐步 成 为 服务 器 操作 系统 的 
主流 。Fedora 作为 继 RedHat 9 之 后 的 Linux 版 本 ， 以 其 更 好 的 开放 性 、 创 新 性 和 前 脆性 成 
为 服务 器 操作 系统 的 首选 版 本 ， 本 书 旨 在 系统 地 介绍 Fedora Core 6 平台 下 各 种 网 络 服务 器 
的 架设 和 配置 。 


1. 本 书 阅读 指南 


第 1 章 介绍 Linux 的 起 源 、Linux 的 优点 、Fedora 与 Linux 的 关系 等 基本 知识 ， 并 重点 
介绍 Fedora 6 的 安装 过 程 ， 最 后 介绍 后 续 章节 需要 用 到 的 Linux 系统 的 一 些 基 本 知识 。 

第 2 章 以 TCP/IP 协议 族 为 主线 回顾 了 网 络 基础 知识 ， 然 后 介绍 Linux 连接 Internet 的 
基本 网 络 配 置 ， 以 及 如 何在 单 网 卡 的 服务 器 上 架设 路 由 。 

第 3 章 介绍 防火 墙 的 基本 知识 ， 重 点 介绍 如 何 使 用 iptables 防火 墙 软件 来 架设 Linux 包 
过 滤 防 火 墙 ， 以 及 如 何 配 置 NAT 服务 以 实现 共享 上 网 。 

第 4 章 主 要 介绍 服务 器 远程 控制 问题 ,并 详细 地 介绍 目前 三 种 远程 控制 解决 方案 :Telnet 
服务 、SSH 服务 和 VNC 服务 。 

第 5 章 主 要 介绍 NFS 和 NIS 的 原理 及 其 服务 器 端的 配置 方法 ， 客 户 端的 配置 和 测试 等 
内 容 ， 最 后 结合 NFS 和 NIS 来 实现 对 分 布 式 系统 用 户 账号 和 根 目录 的 统一 管理 。 

第 6 章 主 要 介绍 DHCP 服务 的 工作 原理 , 重点 介绍 DHCP 服务 器 端 动 态 IP 地 址 分 配 和 
静态 IP 地 址 分 配 的 配置 方法 。 

第 7 章 主 要 介绍 DNS 的 层次 式 域名 结构 、DNS 查询 的 基本 原理 ，Forwarding 服务 器 、 
根 DNS 服务 器 和 主 从 服务 器 的 配置 方法 。 

第 8 章 分 别 介 绍 Apache 和 Tomcat 服务 器 的 安装 、 配置 和 启动 。 并 通过 一 个 简易 的 Web 
工程 讲述 利用 MyEclipse 创建 Web 工程 的 基本 步骤 。 

第 9 章 主 要 介绍 FTP 的 基本 工作 原理 ， 以 及 使 用 vsftpd 服务 器 软件 架设 FTP 服务 器 的 
方法 。 

第 10 章 主要 介绍 电子 邮件 服务 的 基本 概念 及 工作 原理 ， 及 两 种 不 同 的 邮件 服务 器 软件 
(Sendmail 和 Postfix) 的 安装 和 配置 方法 。 

第 11 章 主要 介绍 流行 数据 库 服务 器 软件 MySQL 的 安装 、 配 置 和 使 用 ， 并 介绍 如 何以 
图 形 化 的 方式 来 方便 地 管理 MySQL 服务 器 。 


m Linux 服务 器 架设 与 管理 


第 12 章 主要 介绍 如 何 利用 OpenLDAP 软件 架设 目录 服务 器 ， 涉 及 OpenLDAP 软件 的 
安装 、 配 置 和 启动 ， 以 及 如 何 使 用 LDAP Browser/Editor 软件 来 管理 LDAP 服务 器 。 

第 13 章 主要 介绍 Samba 服务 的 概念 和 原理 、Samba 服务 器 端的 配置 和 启动 以 及 Windows 
系统 和 Linux 系统 Samba 客户 端的 配置 方法 。 

第 14 章 主 要 介绍 网 络 时 间 服 务 器 的 概念 , 着 重 介绍 架设 一 台 位 于 第 三 层 的 NTP 服务 器 
的 配置 方法 ， 最 后 分 别 介绍 Linux 和 Windows 两 种 客户 端的 配置 方法 。 

第 15 章 主要 介绍 Linux 图 形 化 管理 工具 Webmin 的 安装 和 配置 ， 以 及 利用 Webmin 管 
理 图 形 化 界面 分 别 对 DHCP、Samba、DNS、Web、NFS、SSH、MySQL、 防 火 墙 等 服务 的 
配置 方法 ， 以 及 利用 Webmin 管理 系统 软件 。 

第 16 章 主要 介绍 服务 器 性 能 监控 的 意义 ， 以 及 国际 上 流行 的 服务 器 性 能 监控 软件 Ganglia 
的 应 用 现状 ; 然后 介绍 Ganglia 的 安装 、 启 动 和 测试 ; 并 结合 大 型 的 应 用 案例 ， 介 绍 网 络 服 
务 器 性 能 监控 系统 的 开发 步骤 。 


2. 本 书 特 色 与 优点 


(1) 系统 详细 讲述 各 种 服务 器 的 架设 技术 

本 书 所 讲述 的 Linux 系统 中 服务 器 的 架设 和 配置 方法 , 其 范围 涵盖 网 络 应 用 所 涉及 的 大 
部 分 技术 ， 包 括 Linux 防火 墙 、 远 程控 制 、NFS 和 NIS、DHCP、Web 服务 器 、 电 子 邮 件 、 
MySQL 数据 库 、LDAP、Samba、NTP 等 ， 读 者 如 能 对 这 些 内 容 全 面 掌握 ， 相 信 定 能 轻松 
自如 地 架设 各 类 Linux 服务 器 。 

(2) “理论 性 与 实用 性 并 重 

本 书 在 介绍 各 种 Linux 服务 器 架设 和 配置 时 , 坚持 理论 与 实用 并 重 的 原则 。 作者 在 多 年 
的 学 习 和 研究 中 体会 到 只 有 对 理论 有 清晰 、 深 刻 的 理解 ， 才 能 在 实践 中 知 其 然 并 知 其 所 以 
然 ， 从 而 有 的 放 矢 地 解决 实践 中 所 遇 到 的 一 些 问题 ， 因 此 ， 作 者 本 着 三 分 理论 、 七 分 实践 
的 原则 编写 本 书 。 

(3) 结合 应 用 实例 

很 多 服务 器 的 架设 只 有 在 不 同 网 段 、 多 层次 的 实际 局 域 网 环境 中 才能 显 出 其 意义 和 配 
置 的 区 别 ， 因 此 ， 作 者 在 讲述 这 些 服 务 器 的 架设 和 配置 时 坚持 以 实际 的 网 络 拓扑 为 背景 
以 具体 问题 的 求解 为 导向 的 原则 ， 并 且 书 中 的 一 些 实例 将 多 种 Linux 服务 器 的 配置 方法 和 
Java/JSP, shell 编程 、 数 据 库 技术 等 多 种 实用 技术 综合 到 了 一 起 ， 旨 在 为 读者 解决 大 型 网 络 
应 用 问题 提供 思路 和 借鉴 。 
(4) 图 释 前 沿 网 络 技 术 
微型 计算 机 功能 的 日 益 强大 和 高 速 局 域 网 技术 的 飞速 发 展 加 快 了 计算 机 系统 由 集中 式 
走向 分 布 式 的 进程 ， 促 进 了 以 P2P 计算 和 网 格 计算 为 代表 的 分 布 式 计算 技术 的 飞速 发 展 。 
所 谓 分 布 式 计算 ， 就 是 数 百 台 甚至 上 千 台 微机 通过 高 速 局 域 网 连接 在 一 起 形成 超级 计算 机 
以 提供 高 性 能 的 计算 能 力 。 分 布 式 计算 是 目前 活跃 在 网 络 最 前 沿 的 技术 之 一 ， 为 此 ， 本 书 
将 简要 介绍 几 种 分 布 式 计算 的 体系 架构 ， 并 重点 介绍 NES. NIS. Web 服务 器 及 网 络 服务 器 
监控 等 技术 在 分 布 式 系统 中 的 应 用 。 
. IV . 
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Linux 是 一 套 免费 开放 的 类 UNIX 操作 系统 ， 由 于 具有 稳定 可 靠 、 高 效 灵活 的 特点 使 其 
成 为 架设 网 络 服务 器 的 主流 操作 系统 。 作 为 本 书 的 开篇 ， 本 章 将 从 Linux 的 起 源 开始 , 介绍 
Linux 的 优点 、Fedora 与 Linux 的 关系 等 内 容 ， 接 着 重点 介绍 Fedora 6 的 安装 过 程 ， 最 后 介 
绍 后 续 章节 需要 用 到 的 Linux. 系统 的 一 些 基 本 知识 ,包括 vi 文本 编辑 器 、 文 件 和 目录 权限 、 
shell 脚本 的 编写 以 及 Linux 系统 用 户 管理 等 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 内 容 : 

* Linux 的 优势 
Fedora 5j Linux 的 关系 
Fedora 6 的 安装 
Linux 系统 的 一 些 基 本 操作 


$959 


1.1 Linux 简介 


1.1.1. Linux 的 起 源 与 优势 


Linux 是 一 套 免费 使 用 和 自由 传播 的 类 UNIX 操作 系统 , 它 主要 用 于 基于 Intel x86 系列 
CPU 的 计算 机 上 。 这 个 系统 是 由 世界 各 地 成 千 上 万 的 程序 员 设计 实现 的 ， 其 目的 是 成 为 不 
受 任何 商品 化 软件 的 版 权 制 约 的 、 全 世界 都 能 自由 使 用 的 UNIX 兼容 产品 。 

Linux 的 出 现 ， 最 早 开 始 于 一 位 名 叫 Linus. Torvalds 的 计算 机 爱好 者 ， 当 时 他 是 芬兰 赫 
尔 辛 基 大 学 的 学 生 。 他 的 目的 是 想 设计 一 个 代替 Minix 的 操作 系统 (Minix 是 世界 著名 教授 
Andrew Tannebaum 编写 的 操作 系统 教程 上 的 一 个 实例 操作 系统 ), 这 样 才 有 了 Linux 的 雏形 。 

Linux 以 其 高 效 性 和 灵活 性 著称 。 它 能 够 在 PC 上 实现 全 部 的 UNIX 特性 , 具有 多 任务 、 
多 用 户 的 能 力 。Linux 可 以 在 GNU 公共 许可 权限 下 免费 获得 ， 是 一 个 符合 POSIX 标准 的 操 
作 系 统 。Linux 操作 系统 软件 包 不 仅 包括 完整 的 Linux 操作 系统 , 而 且 还 包括 了 文本 编辑 器 、 
高 级 语言 编译 器 等 应 用 软件 。 它 还 包括 带 有 多 个 窗口 管理 器 的 X-Windows 图 形 用 户 界 面 ， 
从 而 让 用 户 像 使 用 Windows NT 一 样 ， 可 以 使 用 窗口 、 图 标 和 菜单 对 系统 进行 操作 。 

Linux 之 所 以 受到 广大 计算 机 爱好 者 的 喜爱 ， 主 要 原因 有 两 个 :一 是 它 属于 免费 软件 ， 
用 户 不 用 支付 任何 费用 就 可 以 获得 其 源 代 码 ， 并 且 可 以 根据 自己 的 需要 对 它 进行 必要 的 修 
Bo 无偿 进行 使 用 ， 无 约束 地 进行 传播 ， 另 一 个 原因 是 ， 它 具有 UNIX 的 全 部 功能 ， 任 何 
使 用 UNIX 操作 系统 或 想 学 习 UNIX 操作 系统 的 人 都 可 以 从 Linux 中 获 益 。 
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在 


机 构 所 使 
的 措施 ， 通 过 Intemet 上 成 千 上 万 爱好 者 和 开发 者 的 不 懈 努 力 ，Linux 比 以 往 任 
健壮 、 更 稳定 、 更 可 靠 ; 另 一 方面 ， 则 得 益 于 众多 像 Red Hat 这 样 的 商业 软件 公 


贯 由 微软 的 Windows NT、Novell 的 Netware 和 UNIX 占据 的 网 络 操作 系统 市 场 上 ， 
Linux 正 日 益 成 为 一 个 令 人 生 晨 的 对 手 。Linux 已 摆脱 了 其 最 初 仅 限于 Linux 爱好 者 和 研究 


的 业余 软件 的 身份 ， 更 多 地 受到 企业 用 户 的 重视 。 这 一 方面 得 益 于 


HOT 


何 时 候 都 
司 积极 介 


Linux 产品 及 其 服务 领域 ， 这 极 大 地 加 快 了 Linux 的 商品 化 步伐 ， 从 而 使 企业 
心 、 更 有 保障 地 布置 他 们 的 Linux 系统 。 随 着 以 IBM, Intel, Oracle, CA 及 网 
巨头 们 纷纷 宣布 支持 Linux， 那 些 曾经 对 Linux 不 导 一 顾 的 著名 软件 公 


众多 IT 


不 得 不 


[] 


过 头 来 重新 审视 这 个 由 Internet 上 的 一 群 业余 人 员 所 开发 出 来 的 操作 系统 。 


那么 Linux 到 底 具 备 哪 些 优点 呢 ? 我 们 可 以 总 结 出 以 下 几 点 。 
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户 可 以 更 


的 老板 


码 
更 
入 
放 


们 


多 平台 。 虽然 Linux 主要 在 x86 平台 上 运行 , 但 是 目前 已 经 移植 到 下 列 平 台 : Alpha 
和 Spare. Red Hat 公司 已 经 推出 了 这 两 个 平台 的 发 行 套件 ， 并 且 对 x86 平台 支持 
多 种 CPU, 包括 : Inte/AMD/Cyrix 的 386/486/Pentium 系列 、 Pentium II , K6/M2/Cyrix 


6x86 等 。 


对 应 用 程序 使 用 的 内 存 进行 保护 。 在 Linux 下 ， 应 用 软件 无 法 访问 系统 分 配 的 内 
存 以 外 的 内 存 区 域 。 这 样 ， 一 个 软件 的 错误 操作 不 会 造成 整个 系统 的 瘫痪 。 


按 需 取 盘 。 在 Linux F, 任何 一 个 执行 文件 在 执行 时 ,只 有 那些 确实 被 


到 的 代 


码 


段 才 会 被 系统 读 取 到 内 存 中 ， 这 样 节约 了 大 量 的 读 取 磁盘 时 间 ， 自 然 也 就 加 快 了 
程序 执行 速度 ， 并 且 这 是 在 操作 系统 级 实现 的 ， 而 不 像 DOS 下 是 要 靠 应 用 程序 


smartdrive 来 管理 ， 两 者 性 能 的 差别 是 很 大 的 。 
共享 内 存 页 面 。 在 Linux F, 多 个 进程 可 以 使 用 同一 块 内 存 页 面 (每 块 大 


小 为 4KB)， 


只 有 当 某 一 个 进程 试图 对 这 块 页 面 执行 写 操作 时 , Linux 才 把 这 块 页 面 为 该 进程 复 


制 到 内 存 的 另 一 块 区 域 (copy-on-write)， 这 样 做 的 好 处 是 不 仅 加 快 了 程 
间 ， 还 节约 了 宝贵 的 物理 内 存 。 

优秀 的 磁盘 缓冲 调度 功能 。Linux 最 突出 的 优点 就 是 它 的 磁盘 IO 速度 
系统 没有 用 到 的 剩余 物理 内 存 全 部 用 来 作为 硬盘 的 高 速 缓冲 ， 当 有 对 


序 运行 的 


， 因 为 它 


内 存 要 求 


较 大 的 应 用 程序 运行 时 ， 它 会 自动 地 将 这 部 分 内 存 释放 出 来 给 应 用 程序 使 用 。 


比 DOS/Windows 下 的 smartdrive 只 能 呆板 地 使 用 固定 大 小 的 缓冲 区 要 先进 得 多 。 


动态 链接 共享 库 。 同 Windows 95 的 DLL 一 样 ，Linux 也 使 用 动态 链接 共享 库 ( 


时 当然 也 提供 静态 链接 库 )。 这 个 特性 可 以 大 大 减 小 Linux. 应 用 程序 的 
被 很 多 程序 同时 调用 的 一 段 代码 只 要 被 加 载 一 次 就 可 由 众多 程序 共享 。 


大 小 ， 并 


H 
将 
A 


这 


I 可 


支持 多 种 文件 系统 。Linux 支持 的 文件 系统 的 种 类 包括 minix、ext、ext2、xiafs、 
hpfs、 fat, msdos, umsdos, vfat, proc. nfs, iso9660. smbfs, ncpfs. affs, ufs, 
romfs, sysv. xenix 和 cohernet. Linux 可 以 将 这 些 文件 系统 直接 装载 (mount) 为 系 


的 一 个 目录 。Linux 自己 的 文件 系统 ext2fs 是 非常 先进 的 ， 最 多 可 以 支持 到 容量 


为 2TB 的 硬盘 ， 文 件 名 长 度 的 限制 为 255 个 字符 。 同 时 Linux 还 支持 以 只 读 方 式 


统 
为 
打开 HPFS-2 格式 的 OS/2 2.1 文件 系统 和 HFS 格式 的 Macintosh 文件 系统 。 
强 
在 


大 的 网 络 功能 。Linux 支持 所 有 常见 的 网 络 服务 , 包括 FTP Telnet, NFS ^5. Linux 
最 新 发 展 的 核心 中 包含 的 基本 协议 有 TCP、IPv4、IPv6、AX.25、X.25、IPX、 
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DDP(Appletalk), NetBEUI 和 Netrom 等 。 目 前 ， 稳 定 的 核心 中 包含 的 网 络 协议 有 
TCP, IPv4, IPX, DDP 和 AX 等 ， 另 外 还 提供 Netware 的 客户 机 和 服务 器 ， 以 及 
现在 最 热门 的 Samba( 让 用 户 共享 Mircosoft Network 资源 )。Linux 还 包括 Appletalk 
服务 器 。 
其 他 的 特点 还 包括 : 支持 POSIX 的 任务 控制 ;软件 移植 性 好 ; 与 其 他 UNIX RRA R 
好 的 兼容 性 等 。 
基于 Linux 的 显著 优势 ， 它 在 服务 器 操作 系统 中 一 定 会 变 得 越 来 越 流行 ， 因 此 如 何在 
Linux 系统 下 架设 各 类 服务 器 将 成 为 网 络 管理 员 的 必修 课 。 


1.1.2. Fedora 简介 


Linux 自 诞生 以 来 , 像 其 他 许多 软件 一 样 发 布 了 很 多 不 同 的 版 本 ,最 常见 的 有 Slackware, 

RedHat、Debian、S.u.s.E. 等 。Fedora Core( 有 时 又 称 为 Fedora Linux) 是 众多 Linux 发 行 版 本 
之 一 , 它 是 一 套 从 Red Hat Linux 发 展 出 来 的 免费 Linux 系统 .Fedora 和 Red Hat 这 两 个 Linux 
的 发 行 版 本 联系 很 密切 。Red Hat 自 9.0 以 后 ， 不 再 发 布 桌面 版 ， 而 是 把 这 个 项 目 与 开源 社 
区 合作 ， 于 是 就 有 了 Fedora 发 行 版 。Fedora 可 以 说 是 Red Hat 桌面 版 本 的 延续 ， 只 不 过 是 
与 开源 社区 合作 。 
Fedora 是 一 个 开放 的 、 创 新 的 、 前 瞻 性 的 Linux 操作 系统 和 平台 ， 它 允许 任何 人 自 
也 使 用 、 修 改 和 重 发 布 ， 无 论 现在 还 是 将 来 。 它 由 一 个 强大 的 社 群 开发 ， 这 个 社 群 的 成 员 
以 自己 的 不 懈 努 力 , 提供 并 维护 自由 、 开放 源 码 的 软件 和 开放 的 标准 。 Fedora 项 目 由 Fedora 
基金 会 管理 和 控制 ， 得 到 了 Red Hat Inc. 的 支持 。Fedora 项 目的 目标 是 与 Linux 社区 一 同 构 
造 一 个 完整 的 、 通 用 的 操作 系统 。Fedora 项 目 计 划 每 隔 一 定 的 时 间 发 布 Fedora Core， 大 约 
每 年 2 一 3 次 ， 可 以 查看 公开 的 日 程 表 。Red Hat 工程 师 团 队 一 直 参 与 构建 Fedora Core 的 过 
程 中 ， 同 时 邀请 并 鼓励 更 多 其 他 人 参与 其 中 。 通 过 使 用 这 种 开放 的 过 程 ， 他 们 希望 可 以 提 
供 一 个 更 加 贴近 自由 软件 理想 ， 同 时 更 受 开源 社区 欢迎 的 操作 系统 。 

Fedora Core 被 红 帽 公司 定位 为 新 技术 的 实验 场 ， 与 Red Hat Enterprise Linux 被 定位 为 
稳定 性 优先 不 同 ， 许 多 新 的 技术 都 会 在 Fedora Core 中 检验 ， 如 果 稳 定 的 话 红 帽 公司 才 会 考 
虑 加 入 到 Red Hat Enterprise Linux 中 。 到 目前 为 止 ，Fedora Core 已 经 发 行 了 7 个 版 本 ， 最 
新 版 本 为 Fedora Core 7。 其 发 行 历史 如 下 。 

2003 年 11 月 ， 第 一 个 发 行 版 本 Fedora Core 1 出 炉 ， 版 本 代码 为 Yarrow。 这 一 版 本 与 
Red Hat Linux 非常 相似 ， 除 加 入 了 新 的 安装 机 制 yum 以 外 ， 只 是 把 Red Hat 的 标志 换 掉 ， 
并 更 新 套件 而 已 。 
2004 年 5 H, Fedora Core 2 正式 发 布 ， 版 本 代码 为 Tettnang。 这 一 版 本 除了 是 第 一 个 
采用 2.6.9 版 核心 的 发 行 套件 及 用 Xorg X11 取代 XFree86 外 ， 也 加 入 了 IMF, SELinux 等 
许多 新 技术 ， 并 且 在 开放 源 代码 社 群 的 支持 下 修正 了 许多 套件 的 错误 。 

2004 年 11 月 ，Fedora Core 3 正式 发 布 ， 版 本 代码 为 Heidelberg。 这 一 版 本 采用 2.6.9 
版 核心 、Xorg 6.8.1、GNOME 2.8 和 KDE 3.3.0. 

2005 年 6 H, Fedora Core 4 正式 发 布 ， 版 本 代码 为 Stentz。 这 一 版 本 采用 2.6.11 版 核 
心 、GNOME 2.10, KDE 3.5, GCC 4.0 fll PHP 5.0. 此 外 , FC4 还 增加 了 对 PowerPC 的 支持 。 


| "-"- | s Linux 服务 器 架设 与 管理 四 — 


2006 年 3 H 20 H, Fedora Core 5 已 经 正式 发 布 , 版 本 代码 为 Bordeaux。GNOME 桌面 
基于 2.14 发 布 , KDE 桌面 是 3.5 的 一 般 版 本 。 这 一 版 本 首次 包含 Mono 支持 ,以 及 众多 Mono 
应 用 程序 ， 例 如 Beagle 桌面 搜索 工具 、F-Spot 相片 管理 工具 以 及 Tomboy 记事 程序 。SCIM 
语言 输入 框架 取代 了 过 去 使 用 的 IMF 系统 。 默 认 网 页 浏览 器 是 Firefox 1.5, gce 4.1 编译 器 
包含 其 中 ， 内 核 基于 Linux 2.6.15。 

2006 年 10 月 24 上 日， 新 版 本 Fedora Core 6 于 美国 东部 时 间 上 午 10 时 正式 发 布 。 

2007 年 6 月 2 日 ， 最 新 版 本 的 Fedora 7 正式 发 布 。 

由 于 成 书 时 间 所 限 ， 本 书 选用 的 版 本 是 Fedora Core 6( 简 称 Fedora 6)， 书 中 所 讲述 的 所 
有 服务 器 的 架设 和 配置 实验 都 是 在 Fedora 6 系统 下 测试 通过 。 


1.2 Fedora 6 的 安装 


Fedora 6 安装 盘 如 果 是 VCD 格式 的 ， 则 包含 6 张 ， 也 可 能 是 1 张 DVD 格式 的 安装 盘 。 
下 面 将 介绍 Fedora 6 的 安装 过 程 。 
Q 括 和 Fedora6 的 安装 盘 后， 进入 机 器 BIOS， 设 置 为 光盘 启动 ， 如 图 1-1 所 示 。 机 器 通过 光 
盘 启 动 后 ， 弹 出 如 图 1-2 所 示 的 界面 ， 按 Enter 键 选择 图 形 化 的 方式 安装 ， 弹 出 如 图 1-3 所 
示 的 界面 ， 说 明 机 器 已 经 进入 正常 的 Fedora 安装 程序 。 


ATAPI CD-ROM Drive 


1-1 设置 光盘 启动 


音 
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To install or upgrade in graphical mode, press the «ENTER? key. 


To install or upgrade in text mode, type: linux text «ENTER. 


Use the function keys listed below for more information. 


图 1-2 Fedora 6 开始 安装 的 界面 
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图 1-3 i£ Enter 键 启动 系统 


Q 进入 Fedora 6 的 安 安 会 询问 是 否 检 
果 无 需 检 验光 盘 可 以 单 击 Skip 按 b; 如 果 单 击 OK 按钮 则 出 现 如 图 1-5 所 示 的 界 
面 ， 提 示 插 入 任意 一 张 Fedora 6 进行 测试 ， 插 入 第 1 KERE, A Test 按钮 进行 光盘 测 
试 ， 过 程 如 图 1-6 所 示 。 测 试 成 功 后 ， 弹 出 测试 结果 窗口 ， 如 图 1-7 所 示 ， 结 果 显 示 第 1 张 
光盘 测试 成 功 ， 可 以 依照 同样 的 步骤 测试 其 他 光盘 。 


从 


光盘 ， 初 始 界面 如 图 1-4 所 如 


a 
a 
us 


Linux 服务 器 架设 与 管理 


To begin testing the CD media before 
installation press OK. 


Choose Skip to skip the media test 
and start the installation. 


Tab»/«flt-Tab» between element 1 i «F12» next screen 


图 1-4 询问 是 否 检验 光盘 


Media Check 


If you would like 
next CD and press 
required, however 
the CDs should be 


Bx 


to test additional media, insert the 
"Test". Testing each CD is not strictly 
it is highly recommended.  Minimally, 
tested prior to using them for the first 


time. After they haue been successfully tested, it is not 
required to retest each CD prior to using it again. 


图 1-5 插入 光盘 进行 检验 


Media Check 


Checking "Fedora Core disc 1"...- 


35z 


图 1-6 检验 光 盘 过 程 
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17 光盘 检验 结果 


© 完成 检验 光盘 后 ， 弹 出 如 图 1-8 所 示 的 界面 。 单 击 Next 按钮 进入 选择 语言 界面 ，Fedora 6 
支持 多 国语 言 ， 可 以 根据 需要 选择 【简体 中 文 】、【 繁 体 中 文 】 或 English， 如 图 1-9 所 示 。 
单 击 Next 按钮 进入 选择 键盘 的 界面 ， 这 里 一 般 选 择 〖 美 国 英语 式 〗】 选 项 ， 如 图 1-10 EN 


$ " 


fedora 


Denn = pem 


1-8 图 形 化 安装 第 一 步 


O 如 果 服 务 器 上 已 经 安装 过 Fedora, 那么 单 击 Next 按钮 将 出 现 如 图 1-11 所 示 的 界面 , 提示 选 
择 需要 重新 安装 还 是 升级 系统 。 第 一 次 安装 Fedora 则 直接 进入 下 一 步 的 操作 。 
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eaae proce 


1-9 选择 系统 语言 


x 
[Qnae [omw | 


140 选择 键盘 种 类 


NM, a ee 
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图 1-11 选择 安装 或 升级 
Q 单 击 Next 按钮 弹出 如 图 1-12 所 示 的 界面 , 提示 将 要 进行 磁盘 分 区 操作 ,该 操作 将 格式 化 硬 


盘 数 据 ， 需 要 用 户 确 认 。 单 击 【 是 】 按 钮 进入 如 图 1-13 所 示 的 磁盘 分 区 界面 ， 在 图 中 标注 
的 微调 框 中 选择 【建立 自 定义 的 分 区 结构 】〗 选 项 . 
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(Q) iË nda 上 的 分 区 表 无 法 被 读 职 。 创 建新 分 区 时 必须 对 其 执行 初始 


化 ， 从 而 会 导致 该 驱动 器 中 的 所 有 数据 丢失 。 
该 操作 会 相差 所 有 先前 关于 要 多 略 的 驱动 器 的 安装 选择 。 
您 想 要 初始 化 这 个 驱动 器 并 删除 所 有 数据 吗 ? 


L@s || @zv 


1-12 确认 格式 化 磁盘 操作 


F + D mR " 
* 
CET 
Da emp | | 中 下 -2 


1-13 ”选择 磁盘 分 区 方式 


Q 单 击 【 下 一 步 】 按钮 进入 Linux 的 Disk Druid 程序 ， 如 图 1-14 所 示 。Disk Druid 程序 类 似 
于 Partition Magic 程序 ， 都 是 用 于 磁盘 分 区 ， 不 过 Disk Druid 程序 划分 的 是 Linux 承认 的 分 
区 ， 与 Windows 下 的 FAT 或 NTFS 一 样 属 于 磁盘 的 不 同 格式 。 该 界面 分 为 三 部 分 。 

@ 顶部 的 长 条 窗口 显示 了 已 经 划分 的 硬盘 的 信息 。 如 果 该 机 器 有 两 个 或 两 个 以 上 的 硬盘 ， 
此 处 就 显示 多 个 长 条 窗口 。 

© 中 间 的 按钮 区 提供 新 建 分 区 、 删 除 分 区 和 编辑 分 区 等 操作 。 

图 底部 的 窗口 显示 不 同 分 区 的 信息 , 包括 硬盘 名 称 、 挂 载 点 (Mount Point). 文件 系统 类 型 、 
是 否 进行 格式 化 及 分 区 大 小 等 。 

Linux 系统 要 求 最 少 有 两 个 分 区 ， 分 别 为 : 

(D exG 存放 文件 的 分 区 ， 即 文件 系统 的 存放 区 域 ; 

Q) swap 用 作 虚 拟 内存 (Virtual Memory) 的 分 区 。 


由 于 ext3 分 


区 存放 了 Linux 的 文件 系统 ， 因 此 该 分 区 应 该 尽量 大 些 ， 建 议 除了 swap 分 区 以 


外 的 磁盘 都 分 给 ext3 分 区 。 
下 面 介绍 如 何 创建 ext3 和 swap 分 区 ， 首 先是 ext3 分 区 ， 选 定 剩余 空间 ， 单 击 【 新 建 〗 按 


钮 ， 弹 出 如 


1-15 所 示 的 窗口 ， 其 中 的 【大 小 】 微 调 框 设 定 了 分 区 的 大 小 ， 以 兆 字 节 (MB) 
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为 单位 ， 对 于 ext3 分 区 不 改动 这 里 ， 而 以 下 面额 外 的 大 小 选项 决定 分 区 的 大 小 ， 在 下 面 的 
【其 它 大 小 选项 】 选 项 组 中 选中 【使 用 全 部 可 用 空间 】 单 选 按钮 ， 如 图 1-15 所 示 。 


Drive idev/hda (8189 MB) (Model: VMware Virtual IDE Hard Drive) 
isa ua 
[ mew Cmo] [mo] Cmo) [mos] [ww 
NM ame KE itt Rma 
| EREDE 
v evinda 
O 隐藏 RAID VEL VM BAAO) 
IBECSII QKR $9 T—BN 


1-14 Disk Druid 磁盘 分 区 程序 主 界面 


VINE) 
(— 1 
以 了 NG | mto 
C] PAR RAID EAS. 
| Dina. Erw | | 中 下 -ay 


图 1-15 添加 ext3 分 区 


接着 创建 swap 分区， 同样 选 定 剩余 空间 ， 单 击 【 新 建 】 按 钮 ， 弹 出 如 图 1-16 所 示 的 窗口 ， 
选择 【文件 系统 类 型 〗 为 swap， 在 【其 它 大 小 选项 】 选 项 组 中 选中 【固定 大 小 】 单 选 按钮 ， 
将 swap 大 小 设置 为 S12MB。 

创建 ext3 和 swap 分 区 成 功 后 ， 弹 出 如 图 1-17 所 示 的 窗口 ， 它 显示 了 当前 的 分 区 和 磁盘 信息 。 
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1-17 添加 分 区 后 的 结果 


O 接 下 来 是 网 络 设置 ， 在 此 可 以 不 做 设置 ， 直 接 忽略 此 步 ， 等 Linux 系统 安装 完毕 后 再 设置 
网 络 ， 具 体 设 置 将 在 2.2 节 “Linux 系统 的 网 络 配置 ”中 详细 讲述 。 
跳 过 网 络 设置 ， 进 入 系统 时 区 设置 步骤 ， 可 选择 亚洲 /上 海 时 区 ， 如 图 1-18 标注 部 分 所 示 。 


IE 


m Linux 服务 器 架设 与 管理 加 


RAGBERNEEE: 


D 条 qt 名 合用 UTCS) 


[Damea] enaa | [er 


A 1-18 REMENE 
Q 接 下 来 是 设 定 系统 管理 员 密码 ， 即 root 用 户 密码 ， 如 图 1-19 标注 部 分 所 示 。 


[Daneo] anw | | 四 下 -Ny 


图 1-19 设 定 管理 员 密码 

O 设 定 系统 管理 员 密码 完毕 后 ， 可 选择 所 安装 软件 步骤 ， 如 图 1-20 标注 部 分 所 示 ， 选 择 不 同 
的 额外 功能 模块 ，Fedora 将 安装 不 同 的 第 三 方 软件 ， 当 然 也 可 以 根据 用 户 需要 选中 【现在 
定制 〗 单 选 按钮 进行 软件 的 定制 。 
然后 单 击 【下 一 步 〗 按 钮 , 在 出 现 的 界面 中 会 提示 Fedora 设置 完毕 , 将 进入 安装 Fedora Core 
的 过 程 ， 如 图 1-21 pom. 
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Fedora Core IDEE REIS KS IET -SERIEARI - IESERE DART GE 
是 什么 人 


REESE ERA ERIS - 
C] Fedora Extras 


[e (0 manette 


FEROE LUCES » RIBUS EE EAN ERETT ett - 
3 MMFPtRID O XMDEBKO 


[Danso] orza | $ T-2w | 


图 1-20 选择 安装 软件 窗口 


At “FS” RIRE 
Fedora Core, 

重 晰 引导 系统 后 ， 您 档 会 在 / 
rooinstall.log THREES 
EUEOREHDE 


重新 引导 系统 后 , 您 将 会 在 / 
root/anaconda-ks.cfq 文件 中 
TORIETSID HER HENN 
kickstart Io 


[Gres LL 


图 1-21 Fedora 安装 设置 完毕 
O 单 击 【 下 一 步 】 按钮 ， 进 入 Fedora 6 的 安装 过 程 ， 如 图 1-22 所 示 。 安 装 的 时 间 取决 于 机 器 
的 性 能 , 如果 用 户 使 用 的 是 6 3k VCD 的 Fedora 6 安装 盘 ,系统 会 提示 用 户 更 换 光 盘 , 图 1-23 
展示 了 Fedora 6 的 安装 过 程 ， 安 装 完毕 后 弹出 如 图 1-24 所 示 的 窗口 ， 该 窗口 提示 将 安装 盘 
从 光驱 中 取出 ， 然 后 通过 单 击 【〖 重 新 引导 】 按 钮 来 重启 机 器 。 
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和 Ea | 


图 1-22 开始 安装 Fedora 6 


f i 
fedora 


Q 重启 计算 
启动 界面 。 


fedora Jj 


I 


EERE gllbc common 2.5-3.396 (62 WFE) 
gllbc 8:8 Wt EROR R 


| Darimw 


图 1-23 Fedora 6 安装 过 程 


机 后 ， 首 先 出 现 如 图 1-25 所 示 的 Boot 界面 ， 然 后 出 现 如 图 1-26 所 示 的 等 待 系统 
第 一 次 启动 Fedora 系统 时 ， 还 会 出 现 如 图 1-27 所 示 的 欢迎 界面 ， 根 据 提示 单 击 


【前 进 】 按 钮 同意 委托 授权 书 ， 并 完成 设置 防火 墙 、 设 置 系统 时 间 等 操作 。 
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1-24 ”安装 完成 


1-25 Fedora Boot 界面 


m Linux 服务 器 架设 与 管理 加 


图 1-26 进入 系统 


= 
E» 欢迎 

在 您 的 系统 就 绪 的 还 要 进行 几 个 步 加 。 设置 代理 将 会 引导 和 您 进行 一 些 基本 配置 。 清 友 击 
SELinux AFARI FD” RR o 
Hmn jap 
创建 用 户 
声卡 


fedora. 


Ranto 


Æ 1-27 Fedora 的 欢迎 界面 
(D 设置 欢迎 界面 完毕 后 ,进入 Fedora X-Win 的 登录 界面 如 图 1-28 所 示 。 在 此 输入 root 用 户 
或 者 其 他 用 户 的 名 称 和 密码 ， 就 可 以 进入 X-Win 的 窗口 界面 ， 如 图 1-29 所 示 。X-Win 类 似 
于 Windows 桌面 窗口 ， 桌 面 上 是 文件 系统 、 回 收 站 等 图 标 ; 窗口 上 方 是 开始 菜单 ， 从 中 可 
以 选择 更 多 的 系统 程序 。 
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fedora 


localhost Jocakdomain 


Æ 1-29 X-Win 窗口 界面 


的 点 评 与 拓展 : 磁盘 分 区 是 Fedora 6 安装 过 程 中 最 关键 的 步骤 ,建议 swap 分 区 的 大 
小 为 物理 内 存 (Physical Memory) 大 小 的 两 倍 。 如 果 计 算 机 需要 进行 大 量 的 软件 编译 工作 ， 
swap 分 区 应 设置 得 稍微 大 些 , 但 swap 分 区 过 大 将 会 浪费 系统 资源 ， 对 于 初学 者 来 说 ， 两 倍 
定律 比较 适合 。 
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13 预备 知识 


1.3.1 vi 文本 编辑 器 


Linux 系统 最 常用 的 文本 编辑 工具 就 是 vi 文本 编辑 器 ， 
管 不 如 图 形 化 处 理 方式 直观 , 但 它 以 
的 认可 。Vi 可 分 为 三 种 模式 : 一 般 模式 、 编 辑 模式 和 命 4 
作用 作 简 单 介绍 。 

仿 “ 一 般 模式 : 输入 vi 命令 进入 ri 文本 编辑 器 的 时 候 ， 曾 


这 个 操作 就 在 一 般 模式 下 进行 。 


许 用 户 移动 光标 查看 文本 内 容 及 进行 复制 、 粘 贴 操作 ; 
索 功能 ， 对 于 很 长 的 文本 文件 ， 很 多 时 候 都 需要 搜索 文 本 关键 字 进 行 快速 定位 ， 


它 以 命令 行 的 方式 处 理 文本 ， 
作 速 度 快 、 功 能 全 面 等 优点 赢得 了 Linux 用 户 广 泛 
式 ， 下 面 分 别 对 这 三 种 模式 的 


i 是 - 般 RAT ， 这 个 模式 允 
最 有 用 的 是 它 所 提供 的 搜 


信 ”编辑 模式 ， 从 一 般 模式 按 下 i、o、a、r XE inea 在 此 模式 下 可 以 


对 文本 进行 编辑 ， 按 Esc 键 则 从 编辑 模式 退回 到 一 
o ”命令 模式 ， 从 一 般 模 UE Pss 
读 取 、 存 储 、 离 开 vi 等 操作 的 
下 面 可 通过 一 个 简单 的 例子 进一步 说 明 vi 文本 编辑 器 的 

输入 下 面 的 命令 打开 或 新 建文 本 文件 , 如 图 1-30 所 示 , 进 


?等 键 进 入 命令 模式 ， 


般 模 式 。 
光标 自动 移 到 最 底下 一 行 ， 


:种 模式 及 其 基本 操作 。 
入 一 般 模式 , 如 图 1-31 所 示 。 


按 i 字 母 键 进入 编辑 模式 , 窗口 左下 角 出 现 INSERT 或 REPLACE 字样 表明 进入 了 编辑 模式 ， 


如 图 1-32 标注 部 分 所 示 。 


1-30 vi 命令 


图 1-31 vi 的 一 般 模式 
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图 1-32 vi 的 编辑 模式 
文本 编辑 完 后 ， 按 : 键 进入 命令 模式 ， 输 入 wq 表示 存储 并 退出 vi， 如 图 1-33 所 示 ， 


表 1-1 列 出 了 vi 命令 模式 的 常用 命令 


图 1-33 vi 的 命令 模式 


表 1-1 vi 命令 模式 的 常用 命令 


Vi 命令 描 述 

w | 将 编辑 的 文本 存储 

" | 离开 vi 文本 编辑 器 

" | 曾 修改 过 文本 ， 但 是 不 想 存储 ， 使 用 该 全 IJE vi 文本 编辑 器 
" 存储 文本 并 离开 vi 文本 编辑 器 


除了 文本 编辑 功能 ， 文 本 搜索 功能 也 是 常用 的 功能 ， 它 可 以 实现 长 文本 文件 中 的 字符 
串 快速 定位 。 打 开 文 本 文件 ， 在 一 般 模式 按 / 键 并 在 窗口 左下 角 输入 搜索 内 容 ， 如 图 1-34 标 
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注 部 分 所 示 ， 图 中 输入 的 是 HITP， 按 Enter 键 就 能 搜索 到 文本 中 第 一 次 出 现 HTTP 字符 
的 地 方 ， 表 1-2 列 出 了 vi 一般 模式 的 常用 命令 。 


3E 


图 1-34 vi 搜索 命令 


表 1-2 vi 一 般 模式 的 常用 命令 


Vi 命令 描 述 
Ctrl+f 屏幕 向 下 移动 一 页 ， 相 当 于 Page Down 按钮 
Ctrl+b bi im 上 移动 一 页 ， 相 当 于 Page Up 按钮 
0 文本 的 第 一 个 字符 处 
$ 将 TIT 该 行 的 第 一 人 
G 移 到 该 文本 的 最 后 一 行 
/word 
?word 
:n1,n2s/word1/word2/g 在 nl 行 与 n2 名 字 为 wordl 的 写 替换 为 word 2 
:1,$s/word1/word2/g 在 第 1 行 与 最 后 一 行 之 间 搜 索 名 字 为 wodl 的 字符 串 ， 并 将 其 替换 为 
Word 2 


的 点 评 与 拓展 : 本 小 节 所 介绍 的 Yi 文本 编辑 器 的 内 容 不 求全 面 ， 但 求实 用 ， 更 多 的 
vi 用 法 有 待 读者 在 实践 中 体会 。 


1.3.2 文件 和 目录 操作 


在 多 数 操作 系统 中 都 有 文件 的 概念 。 文件 是 Linux 用 来 存储 信息 的 基本 结构 , 它 是 被 命 
名 ( 称 为 文件 名 ) 的 存储 在 其 种 介质 (如 磁盘 、 光 盘 和 磁带 等 ) 上 的 -组 信息 的 集合 。Linux 文 
无 结构 的 字符 流 形式 。 文 件 名 是 文件 的 标识 ， 它 由 字母 、 数 字 、 下 划 线 和 圆 点 组 成 
的 字符 串 来 构成 。 用 户 应 选择 有 意义 的 文件 名 。Linux 要 求 文件 名 的 长 度 限 制 在 255 个 字符 
以 内 。 

为 了 便于 管理 和 识别 ， 用 户 可 以 把 扩展 名 作为 文件 名 的 一 部 分 ， 文 件 名 与 扩展 名 之 间 
用 圆 点 分 开 ， 扩 展 名 对 于 文件 分 类 是 十 分 有 用 的 。 用 户 可 能 已 经 对 某 些 大 众 已 接纳 的 标准 
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扩展 名 比较 熟悉 了 ， 例 如 ，C 语言 编写 的 源 代 码 文件 总 是 具有 C 的 扩展 名 。 用 户 可 以 根据 
自己 的 需要 ， 加 入 自己 的 文件 扩展 名 。 
在 计算 机 系统 中 存 有 大 量 的 文件 ， 如 何 有 效 地 组 织 与 管理 它们 ， 并 为 用 户 提供 一 个 使 
用 方便 的 接口 是 文件 系统 的 一 大 任务 。Linux 系统 以 文件 目录 的 方式 来 组 织 和 管理 系统 中 的 
所 有 文件 。 所 谓 文件 目录 就 是 将 所 有 文件 的 说 明 信 息 采 用 树 型 结构 组 织 起 来 ， 即 我 们 常 说 
的 目录 。 也 就 是 说 ， 整 个 文件 系统 有 一 个 “ 根 ”， 然 后 在 根 上 分 “ 权 ”， 任 何 一 个 分 权 上 都 
可 以 再 分 权 ， 权 上 也 可 以 长 出 “叶子 "“ 根 ”和 “ 权 ” 在 Linux 中 被 称 为 “目录 ” 文件 
K”, 而 “叶子 ” 则 代表 一 个 个 文件 。 实 践 证 明 ， 这 种 结构 的 文件 系统 处 理 效 
对 文件 进行 访问 时 ， 需 要 用 到 “路 径 ”(Path) 的 概念 。 何 谓 路 径 ? 顾名思义 ， 路 径 是 指 
从 树 型 目录 中 的 某 个 目录 层次 到 某 个 文件 的 一 条 道路 。 路 径 的 主要 构成 是 目录 名 称 ， 中 间 
用 “/” 符 号 分 开 。 件 在 文件 系统 中 的 位 置 都 是 由 相应 的 路 径 决 定 的 。 
用 户 在 对 文件 进行 访问 时 ， 要 给 出 文件 所 在 的 路 径 ， 这 又 分 相对 路 径 和 绝对 路 径 。 相 
路 径 是 从 用 户 工 作 目 录 开 始 的 路 径 ， 绝 对 路 径 是 指 从 “ 根 ” 开 始 的 路 径 ， 也 称 为 完全 路 径 。 
应 该 注意 到 ， 在 树 型 目录 结构 中 到 某 一 确定 文件 的 绝对 路 径 和 相对 路 径 均 只 有 一 条 。 
绝对 路 径 是 确定 不 变 的 ， 而 相对 路 径 则 随 着 用 户 工作 目录 的 变化 而 不 断 变化 。 这 一 点 对 于 
用 户 以 后 使 用 某 些 命令 如 cp I tar 等 大 有 好 处 。 
理解 了 文件 、 目 录 和 路 径 的 概念 后 ， 下 面 通 过 简单 的 例子 来 讲述 文件 的 复制 、 移 动 以 
及 文件 目录 权限 的 控制 。 
cp 命令 可 以 将 给 出 的 文件 或 目录 复制 到 另 文件 或 目录 中， 就 如 同 DOS 下 的 copy fi 
令 一 样 ， 功 能 非常 强大 。 输 入 下 面 的 命令 则 将 testvi 这 个 文件 复制 到 /homeltian 目录 下 ， 如 
图 1-35 所 示 。 


NM 


/home/tian/ 


e/tian 


135 ”复制 单个 文件 


cp testvi /home/tian 


这 里 testvi 就 是 相对 路 径 , 因为 shell 所 在 的 路 径 是 /root。 后 面 的 /home/tian 为 绝对 路 径 。 

cp 命令 的 -参数 提供 目录 复制 功能 ，-T 参数 说 明 若 给 出 的 源 文件 是 一 目录 文件 ， 则 将 
递归 复制 该 目录 下 所 有 的 子 目录 和 文件 。 此 时 目标 文件 必须 为 一 个 目录 名 。 比 如 说 ， 要 将 
nfs 这 个 目录 复制 到 /home/tian 下 ， 可 以 使 用 下 面 命令 ， 如 图 1-36 Pros. 


B 


图 1-36 ”复制 整个 目录 
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cp -r nfs /home/tian 
从 结果 可 以 看 到 ， 在 /home/tian 下 有 了 nfs 这 个 目录 ， 并 日 nfs 中 的 文件 也 一 起 复制 过 


去 了 。 如 果 只 需 将 nfs 目录 下 的 文件 复制 到 /home/tian 下 ， 而 不 需要 将 nfs 目录 也 一 起 复制 
过 去 ， 该 如 何 操作 呢 ? 这 时 就 应 使 用 下 面 的 命令 : 


cp nfs/* /home/tian 


上 面 命令 中 的 “*” 为 通配符 ， 意 思 是 将 nfs 目录 下 的 所 有 文件 都 复制 到 /home/tian F, 
如 图 1-37 所 示 。 


图 1-37 复制 目录 下 的 所 有 文件 


mv 命令 可 以 为 文件 或 目录 改名 或 将 文件 由 一 个 目录 移 到 另 一 个 目录 中 。mv 命令 中 第 
-个 参数 类 型 分 目标 文件 和 目标 目录 ， 如 果 类 型 是 文件 时 ，mv 命令 将 所 给 的 源 文件 或 目录 
重 命名 为 给 定 的 目标 文件 名 ， 此 时 ， 源 文件 只 能 有 一 个 (也 可 以 是 ) 如 果 是 已 存在 的 


目录 名 称 时 ， 源 文件 或 目录 参数 可 以 有 多 个 ，myv 命令 将 各 参数 指定 的 源 文 件 均 移 至 目标 目 
录 中 。 在 跨 文件 系统 移动 时 ，mv 先 复制 ， 再 将 原 有 文件 删除 ， 从 而 链 至 该 文件 的 链接 也 将 


丢失 。 
图 1-38 演示 了 使 用 mv 重 命名 文件 和 移动 文件 的 方法 ， 第 一 条 命令 : 


mv testvi firstvi 


将 testvi 这 个 文件 重 命名 为 firstvi。 
第 二 条 命令 : 


mv firstvi /home/tian/ 


将 firstvi 这 个 文件 移动 到 /home/tian 目录 下 ， 相 当 于 Windows 下 的 前 切 和 粘贴 操作 。 


]f mv fi V o 
2E /home/tian 


]# 


图 1-38 mv 命令 的 用 法 

rm 命令 提供 删除 文件 功能 ， 该 命令 可 以 删除 一 个 目录 中 的 一 个 或 多 个 文件 或 目录 ， 它 
也 可 以 将 某 个 目录 及 其 下 的 所 有 文件 及 子 目 录 均 删除 。 删 除 单个 文件 不 用 带 任 何 参数 ， 如 
果 是 删除 整个 目录 及 目录 下 的 所 有 文件 ， 需 要 带 -rf 参数 ， 如 图 1-39 所 示 。 这 两 种 命令 分 
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别 如 下 。 
(1) 删除 firstvi 文件 。 


rm firstvi 


及 该 目录 下 所 有 文件 : 


(2) 删除 nfs 目录 以 


-rf nfs 


rm 


第 1 章 Linux 初 阶 


图 1-39 rm 命令 用 法 
Linux 系统 中 的 每 个 文件 和 目录 都 有 访问 许可 权限 ， 
件 和 目录 进行 访问 和 操作 。 
文件 或 目录 的 访问 权限 
允许 读 其 内 容 ， 而 禁止 对 其 
序 执行 。 文 件 被 创建 时 ， 文 
文件 的 阅读 和 修改 。 用 户 也 可 根据 需要 把 访问 权 民 
有 三 种 不 同类 型 的 用 户 可 对 文件 或 目录 进行 访问 : 
所 有 者 一 般 是 文件 的 创建 者 ， 他 可 以 允许 同 组 有 
予 系统 中 的 其 他 用 户 ， 从 而 使 系统 中 每 一 位 用 户 
每 一 文件 或 目录 的 访问 权限 都 有 三 组 ， 每 丝 
执行 权限 ， 与 属 主 同 组 的 用 户 的 读 、 写 和 执行 权 民 
当 用 ls -1 命令 显示 文件 或 目录 pim M, 


fip 
所 示 ， 列 出 了 testvi 这 个 文件 的 i ， 为 : 
27 13:05 testvi 


这 里 共有 


4A HE. BUS 
做 任何 的 更 改 操作 ; 
人 所 有 者 自动 拥有 列 


执行 


Jape 
KIE 


P 
X 


tb EU; In 
Hf 


E, 系统 


的 


--r-- 1 root root 0 10- 


pru 
个 目录 


录 也 是 一 
如 果 是 d， 表示 是 一 个 目录 。 
与 testvi 属 主 同 组 的 用 / 


-rw-r 


T 代 表 
件 类 型 。 在 ii 
目录 的 文件 ; 
有 读 写 权限 ， 


j 
> 只 有 其 他 上 


用 它 来 确定 上 
:种 。 


可 执行 权限 表示 允许 ; 
该 文件 的 读 、 


户 访问 文件 ， 


E 
中 其 他 用 户 
最 左边 的 一 


如 果 第 


以 文件 为 例 ， 只 读 权 


EET 
任何 组 合 。 
件 所 有 者 、 同 组 用 户 和 其 
还 可 以 将 文件 的 访问 
多 所 有 者 拥有 的 文件 或 
分 别 为 文件 属 主 自 


执行 权限 ， 


VA 


该 文件 作为 


户 能 以 何 种 方式 对 文 


限 表示 只 
-个 程 
以 便于 对 


他 用 户 。 
问 权 限 赋 


JN 


写 和 执行 权限 。 


列 为 文件 的 访问 权限 。 


第 


W.B 
符 是 横 线 ， 表 示 是 
-个 普通 文件 ， 


iPad ,也 只 有 读 权 限 。 


10 个 字 


LA 
TF 


如 图 1-40 


-个 字符 指定 了 文 


-个 非 


testvi 的 属 主 


。23 。 


Linux 服务 器 架设 与 管理 


图 1-40 查看 testvi 权限 
理解 了 文件 的 三 种 权限 、 三 个 用 户 组 的 概念 后 , 我 们 来 学 习 如 何 改变 文件 的 属性 , chmod. 
常 重要 的 命令 , 用 来 控制 文件 或 目录 的 访问 权 
达 式 的 文字 设 定 法 ， 另 一 种 是 包含 数字 的 


限 。 
数字 设 定 法 。 文 字 


-种 是 包含 字母 和 操作 和 
设 定 法 的 格式 为 : 


chmod [用 户 类 型 ] [符号 ] [属性 ] 文件 名 
:种 参数 如 表 1-3 所 示 。 


表 1-3 chmod $4 


用 户 类 型 属 性 
u 表示 “用 户 ”(user)， 即 文件 或 目录 的 所 有 者 + aAA BU r 可 读 
g 表示 “ 同 组 ”(group)， 即 与 文件 属 主 同 组 的 用 户 | - Hue Bub w 可 写 
o 表示 “其 他 ”(others) 用 户 = 赋予 给 定 权 x_ 可 执行 


a 表示 “所 有 ”(alD) 用 户 。 它 是 系统 默认 值 
例如 , 如 果 要 将 testvi 这 个 文件 的 权限 改 成 : 属 主 可 读 可 写 可 执行 , 同 组 用 户 可 读 可 写 ， 
只 需 使 用 下 面 命令 : 
chmod ut+x,g+w testvi 


^" 人 


注意 该 命令 的 不 同 参数 之 间 用 去 


所 示 。 


0 10-27 1 


图 1-41 chmod 文字 设 定 法 


那么 什么 是 chmod 的 数字 设 定 法 呢 ? 首先 需要 了 解 用 数字 表示 的 属性 的 含义 : 0 表示 
没有 权限 ，1 表示 可 执行 权限 ，2 表示 可 写 权 限 ，4 表示 可 读 权限 ， 然 后 将 其 相 加 。 所 以 数 
字 属 性 的 格式 应 为 3 个 从 0~7 的 八进制 数 ， 其 顺序 是 u、g、o。 比 如 上 步 的 chmod u+x,g+w 
testvi 命令 等 价 于 下 面 的 命令 : 


chmod 764 testvi 


结果 如 图 1-42 所 示 。 


外 点 评 与 拓展 : 设置 文件 权限 方面 的 命令 还 有 chgrp、chown 等 ， 由 于 使 用 较 少 ,在 
此 就 省 略 不 讲 了 。 对 于 chmod 的 两 种 设 定 方法 ， 读 者 只 需 热 悉 其 中 的 一 种 即 可 。 
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图 1-42 chmod 数字 设 定 法 


1.3.3 shell 脚本 


何谓 shell? shell 是 “外 壳 ” 的 意思 ， 很 形象 ，shell 是 Linux 系统 内 核 与 用 户 交 互 的 外 
接受 用 户 的 命令 ， 然 后 将 命令 转达 给 Linux 内 核 执 行 ， 内 核 再 将 执行 结果 通过 shell 
名 给 用 户 。 因此, 我 们 将 Linux 的 命令 提示 行 称 为 shell 命令 行 , 输入 其 中 的 命令 称 为 shell 


命令 。 那么 什么 是 shell 脚本 呢 ? 简 言 之 ，shell 脚本 是 批量 执行 shell 命令 的 程序 ， 它 将 许多 


shell 命令 整合 在 一 个 脚本 文件 中 , 执行 shell 脚本 就 相当 于 连续 执行 了 整合 在 其 中 的 许多 
shell 命令 。shell 脚本 这 种 程序 与 C、Java 等 程序 不 同 ， 它 不 需要 编译 ， 也 没有 复杂 的 语 


法 和 流程 ， 但 却 具备 良好 的 debug 工具 。 


hell 脚本 以 简洁 的 方式 提供 了 批 shell 命令 的 处 理 , 大 大 方便 了 网 络 管理 员 对 各 类 Linux 


外 


服务 器 的 配置 和 架设 ， 因 此 shell 脚本 成 为 用 户 在 架设 Linux 服务 器 前 必须 了 解 的 概念 。 下 


面 通过 一 个 例子 来 简 述 shell 脚本 的 编 2 


和 执行 的 步骤 。 


Q 使 用 vi 命令 编辑 文件 firstsh， 在 该 文件 内 输入 如 图 1-43 所 示 的 内 容 。 第 一 行 #1/bin/bash” 


是 每 个 shell 脚本 必须 要 有 的 声明 ， 它 宣告 该 文件 是 shell 脚本 程序 。 其 
号 开头 ， 则 表明 为 注释 行 。 
TH: 


行 如 果 以 “ff" 符 


echo "Hello World! " 


echo "This is My First Shell Script! 
date 


分 别 为 三 条 shell 命令 ， 前 两 行 要 求 回 显 引号 里 的 内 容 ， 最 后 一 行 date 命令 要 求 显示 当前 的 
系统 时 间 ， 


1-43 ”第 一 个 shell 脚本 


© 存储 firstsh 文件 后 ， 还 需要 使 用 下 面 的 命令 将 firstsh 文件 的 权限 改 为 可 执行 ， 如 图 1-44 


标注 部 分 所 示 。 这 样 就 可 以 执行 first.sh 这 个 脚本 文件 了 , 输入 ./first.sh, 结果 如 图 1-44 所 示 ， 
屏幕 显示 了 写 在 echo 命令 后 面 的 语句 ， 并 显示 出 当前 的 系统 时 间 ， 所 用 到 的 两 条 命令 分 列 
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于 下 : 


chmod a*x first.sh 
./first.sh 


图 1-44 执行 first.sh 脚本 


定义 变量 来 实现 与 用 户 之 间 的 交互 ，shell 命令 规定 以 “$” 符 号 开头 的 字 

可 以 用 来 赋值 传 言 变 量 不 同 的 是 ，shell 的 变量 无 需 定义 类 
型 。 我 们 写 一 个 带 变量 的 shell 脚本 ， ， 然 后 将 输入 反馈 输出 ， 脚 本 内 容 
如 图 1-45 所 示 。 read 命令 读 取 来 自 键盘 的 输入 , 将 输入 赋 给 变量 ; echo 命令 反馈 字符 串 时 ， 
以 $firstname 和 $lastname 表示 读 取 刚才 赋 过 值 的 两 个 变量 ， 执 行 效 果 如 图 1-46 所 示 。 


符 串 为 变量 名 ， 变 


1-45 ” 带 变量 的 shell 脚本 


ps] 


146 ”执行 效果 


LO RES TRE: shell 脚本 的 编写 是 一 个 比较 复杂 的 问题 ， 不 是 预备 知识 中 的 少量 篇 
能 介绍 清楚 的 ， 这 里 只 是 介绍 shell 脚本 的 基本 概念 和 简单 脚本 的 编写 方法 ， 为 读者 理 
解 后 面 章节 中 配置 各 类 服务 器 时 所 出 现 的 脚本 打下 基础 。 


13.4 系统 用 户 管理 


安装 Fedora 时 ， 设 置 过 root 用 户 的 密码 ，root 用 户 是 Linux 的 超级 用 户 ， 可 以 创建 和 
删除 其 他 所 有 系统 用 户 。 本 小 节 将 讲述 如 何 创建 和 删除 系统 用 户 、 如 何 修 改 系统 用 户 的 密 
码 以 及 如 何在 用 户 之 间 切 换 等 内 容 。 
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一 般 都 使 用 Linux 提供 的 命令 useradd 来 添加 新 用 户 , 输 入 下 面 的 命令 添加 Foxdie 用 户 ， 


d» 


如 图 1-47 所 示 。 


图 1-47 添加 Foxdie 用 户 
useradd Foxdie 
创建 新 用 户 看 似 很 简单 ， 其 实 已 经 在 系统 里 创建 了 很 多 东西 ， 该 命令 默认 地 在 /home 
下 为 Foxdie 用 户 创建 了 根 目 录 , 如 图 1-47 标注 部 分 所 示 。 如 果 要 将 Foxdie 的 根 目 录 创 建 在 
别 的 目录 下 ， 可 以 在 useradd 后 面 带 -d 参数 来 指定 。 
系统 下 其 他 关于 用 户 的 文件 还 有 /etc/passwd、/etc/shadow、/etc/group， 在 使 用 useradd 
命令 创建 Foxdie 后 ， 这 些 文件 也 相应 地 创建 了 Foxdie 的 相关 信息 ， 如 图 1-48 所 示 。 


图 1-48 相关 文件 中 的 Foxdie 信息 

出 于 系统 安全 考虑 ，Linux 系统 中 的 每 一 个 用 户 除了 有 其 用 户 名 外 ,还 有 其 对 应 的 用 户 
口令 。 因 此 使 用 useradd 命令 创建 新 用 户 后 ， 还 需 使 用 passwd 命令 为 每 一 位 新 增加 的 用 户 
设置 口令 。root 用 户 可 以 使 用 passwd 命令 来 改 用 户 的 口令 ， 用 户 也 可 以 使 用 


passwd 命令 来 改变 自己 的 口令 。 图 1-49 演示 了 root 用 户 为 Foxdie 用 户 更 改 密码 的 过 程 , 命 
SWF: 


passwd Foxdie 


ion tokens updated 


A 1-49 为 Foxdie 用 户 更 改 密码 


口令 被 加 密 并 放 入 /etc/shdo 文件 。 选取 一 个 不 易 被 破解 的 口令 是 很 重要 的 


规则 : 口令 应 该 至 少 有 6 位 (最 好 是 S 位 ) 字 符 ; 口令 应 该 是 大 小 写字 母 、 标 上 


应 遵守 如 下 
号 和 数字 混 


杂 的 。 


AA 


su 命令 提供 了 用 户 之 间 的 切换 功能 ， 这 个 命令 非常 重要 ， 它 可 以 让 一 个 普通 用 户 拥有 
超级 用 户 或 其 他 用 户 的 权限 ， 也 可 以 让 超级 用 户 以 普通 用 户 的 身份 来 操作 。 超 级 用 户 切 换 
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到 普通 用 户 时 ， 无 需 输 入 密码 ;反之 ， 则 需要 输入 超级 用 户 的 密码 。 使 用 下 面 的 命令 ， 将 
由 root 切换 到 Foxdie 用 户 ， 如 图 1-50 所 示 。 
su Foxdie 


在 Foxdie 下 要 更 改 自 己 的 密码 ， 可 直接 输入 passwd 命令 ， 此 时 需要 输入 旧 密码 ， 然 后 
才能 输入 新 密码 ， 如 图 1-50 所 示 。 


图 1-50 ”切换 到 Foxdie FH P 


使 用 命令 userdel 可 以 删除 系统 用 户 ， 如 果 带 -r 参数， 表示 连 
除 。 具 体 命令 如 下 : 


userdel -r Foxdie 


系统 用 户 的 根 目录 一 起 删 


图 1-51 标注 部 分 表示 删除 Foexdie 用 户 ， 并 且 连 同 Foxdie 的 根 目录 一 起 删除 。 


ak] 


1-51 删除 Foxdie 用 户 


1.4 本 章 小 结 


本 章 首先 介绍 了 Linux 的 起 源 和 优点 、Fedora 与 Linux 的 关系 及 Fedora 版 本 的 发 布 等 
内 容 ; 接着 重点 介绍 了 Fedora 6 的 安装 过 程 ， 详 细 讲 述 了 安装 过 程 中 的 磁盘 分 区 步骤 du 
后 介绍 了 后 需要 用 到 的 Linux 系统 的 一 些 基 本 知识 : 例如 , vi 文本 编辑 器 ， 它 是 创建 
文本 文件 、 编 辑 文本 文件 所 必须 使 用 的 工具 ; 文件 和 目录 的 复制 、 移 动 、 删 除 ， 以 及 文件 
和 目录 权限 的 管理 也 中 穿 于 全 书 ; shell 脚本 ， 它 提供 了 处 理 批 shell 命令 的 一 种 方法 ,方便 
了 网 络 管理 员 配 置 各 种 服务 器 ; Linux 系统 用 户 的 创建 、 密 码 的 更 改 及 用 户 的 删除 ， 这 些 也 
是 架设 服务 器 e 不 可 避免 的 问题 。 本 章 在 介绍 这 些 预备 知识 时 ， 都 不 求全 面 ， 只 求 能 够 为 
后 续 章节 的 学 习 打下 基础 。 


Internet 利用 TCP/IP 协议 族 进行 网 际 互联 ，TCP/IP 协议 族 是 由 分 布 在 网 际 互联 各 个 层 
次 的 一 系列 协议 所 组 成 的 。 在 学 习 Linux 各 种 服务 器 的 架设 前 ， 需 要 对 TCP/IP 协议 族 中 的 
主要 协议 及 一 些 重 要 概念 有 所 了 解 。 本 章 首 先 将 回顾 TCP/IP 协议 族 ， 重 点 介绍 IP 地 址 和 
MAC 地 址 、 子 网 划分 和 子 网 掩 码 、 网 络 层 路 由 及 TCP. UDP 协议 等 内 容 ， 然 后 讲述 Linux 
连接 Internet 的 基本 网 络 配置 , 包括 局 域 网 内 的 各 个 网 络 参 数 的 设 定 和 如 何 利 用 ADSL 连接 
Internet; 最 后 讲述 如 何在 单 网 卡 的 服务 器 上 架设 路 由 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 内 容 : 
T fit TCP/IP 体系 架构 和 各 层 中 协议 的 基本 功能 
深入 理解 子 网 划分 和 子 网 掩 码 以 及 网 关 路 由 的 概念 
能 够 对 Linux 进行 基本 的 网 络 配置 
了 解 利用 ADSL 连接 Internet 的 配置 方法 
能 够 架设 Linux 服务 器 路 由 
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2.4 TCP/IP 协议 族 概述 


2.1.1 TCP/IP 体系 架构 


TCP/IP 是 一 组 网 络 协议 , TCP 和 也 是 这 一 组 协议 中 的 两 个 最 重要 的 协议 。 协议 就 好 像 
是 一 种 语言 ， 有 一 定 的 规则 ，TCP/IP 是 一 组 计算 机 使 用 的 规则 ， 它 使 得 运行 不 同 操作 系统 
的 计算 机 能 以 有 序 的 方式 交换 数据 。 最 常用 于 描述 数据 通信 的 模型 是 开放 系统 互联 模型 
(OSI 模型 )， 它 给 出 了 理论 上 的 七 层 模型 : 应 用 层 、 表 示 层 、 会 话 层 、 传 输 层 、 网 络 层 、 数 
据 链 路 层 和 物理 层 。 美 国 国防 部 从 实践 的 角度 精简 了 这 七 层 模型 ， 提 出 了 TCP/IP 四 层 体系 
结构 ， 包 含 应 用 层 、 传 输 层 、 网 络 层 和 网 络 接口 层 ， 如 图 2-1 所 示 。TCP/IP 协议 族 中 的 每 
一 个 协议 规范 均 定义 在 RFC H, RFC 由 许多 Internet 用 户 提交 ， 这 些 用 户 可 以 提出 新 的 协 
议 ， 可 以 建议 对 现 有 协议 进行 改进 ， 甚 至 对 网 络 状态 进行 评价 。 
今 “ 应 用 层 是 体系 结构 中 的 最 高 层 ， 它 确定 了 进程 间 通 信 的 性 质 以 满足 用 户 需要 。 应 
用 层 中 的 协议 很 多 ， 如 HTTP 协议 、SMTP 协议 、FTP 协议 等 。 

令 “ 传 输 层 负责 主机 中 两 个 进程 间 的 通信 ， 它 有 两 种 不 同 协议 ， 一 是 面向 连接 的 
TCP(transmission control protocol, 传输 控制 协议 ), 一 是 无 连接 的 UDP(user datagram 
protocol， 用 户 数据 包 协 议 )。 
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应 用 层 (FTP、Telnet、SMTP、NFS、DNS 等 协议 ) 


传输 层 (TCP、UDP 协 议 ) 


网 络 层 GQP、 路 由 协议 、ICMP) 


网 络 接口 层 ARP、RARP) 


2-1 TCP/IP 体系 架构 


今 “ 网 络 层 负责 为 分 组 交换 网 上 的 不 同 主机 提供 通信 能 力 。 网 络 层 另外 还 有 路 由 选择 
功能 ， 使 源 主机 的 数据 包 能 传 到 目的 主机 。 网 络 层 协议 主要 是 无 连接 的 IPInternet 
Protocol， 网 际 协议 ) 和 多 种 路 由 选择 协议 。 网 络 层 又 称 网 际 层 或 他 层 。 

分 ”网 络 接口 层 是 TCP/IP 的 最 底层 ， 负 责 数据 包 的 接收 或 发 送 。 另 外 ， 也 有 人 将 网 络 
接口 层 再 划分 为 两 层 ， 即 网 络 接口 层 和 物理 层 ， 从 而 构成 五 层 体系 结构 。 

TCP/IP 的 优点 如 下 : @ 一 开始 就 考虑 到 多 种 异 构 网 的 互联 问题 ， 并 将 网 际 协议 IP 作为 

TCP/IP 的 重要 组 成 部 分 ，@@ 面 向 连接 服务 和 无 连接 服务 并 重 ，@ 较 好 的 网 络 管理 功能 。 
TCP/IP 也 有 不 足 之 处 ，TCP/IP 模型 没有 清晰 区 分 “服务 ”” “协议” “接口 ”等 概念 ， 可 能 
为 采用 新 技术 设计 新 网 络 带 来 一 些 麻烦 ，TCP/IP 模型 的 通用 性 较 差 ， 难 以 用 来 描述 其 他 类 
HINER: TCP/IP 的 网 络 接口 层 严格 地 说 不 是 一 个 层次 而 仅 是 一 个 接口 。 


2.1.2 网 际 IP 协议 


本 节 首 先 介 绍 TCP/IP 体系 架构 中 网 络 层 的 地 址 , 即 所 谓 的 IP 地址 , 以 及 网 络 接口 层 的 
网 卡 地 址 ， 即 MAC 地 址 。 在 下 地址 的 基础 上 介绍 网 段 的 划分 以 及 子 网 掩 码 等 重要 概念 。 


1. IP 地 址 和 MAC 地 址 


首先 ， 需 要 区 分 IP 地 址 和 MAC 地 址 (硬件 地 址 ) 的 概念 。IP 地 址 是 网 络 层 及 其 以 上 各 
层 使 用 的 地 址 ，MAC 地 址 是 数据 链 路 层 和 物理 层 使 用 的 地 址 。IP 地 址 放 在 IP 数据 包 的 首 
部 ，MAC 地 址 放 在 MAC 帧 的 首部 。 当 IP 数据 包 放 入 数据 链 路 层 的 MAC 帧 中 以 后 ， 人 P 数 
据 包 就 成 了 MAC 帧 的 数据 ， 在 数据 链 路 层 看 不 见 数据 包 的 TP 地 址 。 

IP 地址 和 MAC 地 址 的 主要 区 别 如 下 : 

分 IPEMB Intenet 上 只 能 看 到 IP 数据 包 。IP 数据 包 不 管 经 过 多 少 路 由 器 的 转发 ， 
其 首部 中 的 源 地 址 和 目的 地 址 始终 不 变 。 

信 ”物理 网 络 的 链 路 层 只 能 看 到 MAC tji. MAC 帧 在 不 同 网 络 上 传送 时 ， 其 MAC 帧 

首部 中 的 源 地 址 和 目的 地 址 要 发 生变 化 。 但 MAC 帧 首部 的 变化 中 层 是 看 不 见 的 。 

虽然 互联 在 一 起 的 MAC 地 址 体系 各 不 相同 , 但 IP. 层 抽象 的 Internet 屏蔽 了 下 层 的 复杂 

细节 ， 只 要 在 网 络 层 上 讨论 问题 ， 就 能 使 用 统一 、 抽 象 的 他 地 址 。 
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2. IP 数据 包 


IP 数据 包 是 一 种 数据 报 文 的 格式 。 卫 数据 包 最 大 可 
以 太 网 帧 包含 的 数据 最 大 仅 有 1 500 字 节 ， 并 且 不 同 网 络 媒体 的 MAC 帧 大 小 也 不 同 。 由 于 
IP 数据 包 必须 放 到 MAC 帧 中 , 因此 Internet. 上 的 TP 数据 包 必 须 小 于 MAC bir 


以 达到 65 535 字 节 (Byte)， 而 标准 


大 值 ， 而 不 可 能 达到 它 的 最 大 值 (65 535 字 节 )。 此 外 ， 


MAC 帧 表 头 中 最 重要 的 就 是 网 卡号 ,而 TP 数据 包 表 头 中 最 重要 的 就 是 IP 地 址 。 


Internet 

悉 ， 因 出 

进 制 ， 
3. 


IP 
192.168. 


F^ 
Eh 


网 段 内 的 IP 地 址 。 


$ 


上 使 用 的 IPv4 ff) IP 地 址 是 由 32 位 二 进 制 数据 所 组 成 。 由 于 人 们 对 二 进 制 数 不 很 熟 
含 8 位 ， 再 将 每 小 段 的 8 位 换算 成 十 
并 且 每 一 小 段 中 间 以 小 数 点 隔 开 ， 就 成 了 目前 大 家 所 熟悉 的 IP 地 址 书写 格式 。 


就 将 32 位 的 IP 地 址 分 成 4 小段， 每 一 小 段 


网 段 与 IP 地址 分 类 


00001010. 


c 类 网 段 ， 
UUUUUUUU 
11111111 
-主机 号 -| 


图 2-2 C 类 网 段 的 例子 

在 本 例 中 ， 前 面 三 组 数字 ( 即 192.168.10) 称 为 网 络 号 ， 最 后 一 组 数字 称 为 主机 号 。 
-个 网 段 中 ”的 定义 是 指 : 在 同一 个 物理 网 段 内 ， 主 机 的 TP 地 址 具有 相同 的 网 络 号 ， 
习 的 主机 号 。 如 果 满 足 上 述 条 件 ， 这 些 IP 地 址 就 是 同一 个 网 段 内 的 了 P 地 址 。 


qi 


i 例子 中 的 192.168.10.1, 192.168.10.2, +*+, 192.168.10.255 这 些 IP Ji 
(iE, qn A HREBL ACRES HERD. 不 能 具有 相 
否则 就 会 发 生 IP 地 址 冲突 ， 造成 两 台 主机 都 无 法 连接 网 络 。 那 么 设 定 
哪些 问题 呢 ? 将 IP 地 址 设 定 在 同一 个 网 段 内 又 有 什么 妇 


在 同一 个 网 段 内 ， 网 络 号 EREN, 而 主机 


(主机 号 全 部 为 0) 和 192.168.10.255( 主 机 号 全 


192.168.10.254。 


在 同一 个 网 络 内 ， 每 一 台 主 机 都 可 以 以 MAC 
议和 广播 数据 包 取得 MAC 地 址 与 瑟 地 址 的 对 应 后 ， 直 接 利用 MAC 帧 传递 数据 。 
在 同一 个 物理 网 段 内 ， 如 果 两 台 主机 设 定 成 不 同 的 了 P 网 段 ， 则 两 台 主 机 无 法 直接 


-就 是 同 


pur 


E fe VEI: 
在 网 络 联机 过 程 中 ， 数 据 包 所 经 过 的 
网 络 媒体 各 不 相同 ，MAC 帧 的 大 小 也 就 随 之 变化 。 为 使 IP 数据 包 适 用 于 所 有 的 网 络 ，I 
数据 包 是 可 以 重组 的 。 


p 
, 


目前 


也 址 的 32 位 数据 ， 主 要 分 为 主机 号 (HOST_ ID) 和 网 络 号 (Net_ID) 两 部 分 。 下 面 以 
0.0 一 192.168.10.255 这 一 C 类 网 段 为 例 进行 说 明 ， 如 图 2-2 所 示 。 


“ 同 
并 且 


个 


[= 


的 主机 号 ， 
-个 网 段 时 要 注意 


号 则 是 不 可 重复 的 。 另 外 ， 主 机 号 在 
二 进 制 表示 法 中 ， 不 可 同时 为 0， 也 不 可 同时 为 1。 在 上 面 的 例子 中 ，192.168. 


10.0 


部 为 1) 就 不 可 以 用 作 该 网 段 内 主机 的 
IP 地 址 ， 即 这 个 网 段 内 可 以 用 来 设 定 主机 的 IP 地 址 范围 是 192.168.10. 


l^ 


贞 的 格式 传递 数据 。 在 通过 ARP 协 


以 MAC 帧 格式 进行 数据 传递 ， 因 为 广播 数据 包 无 法 查询 到 MAC 地 址 与 TP 地 址 


的 对 应 。 
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1 号 所 占用 的 数据 位 越 多 ， 也 即 主机 号 数量 越 多 时 ， 就 表示 同一 个 网 段 内 可 
用 以 设 定 主机 的 IP 地 址 数量 越 多 。 


+ ÄN 


为 此 ， 一 般 企业 内 的 所 有 计算 机 都 设 定 在 同一 个 网 段 内 是 最 方便 的 。 


这 样 ， 每 一 台 计 


算 机 都 可 以 直接 通过 MAC 帧 来 进行 数据 传送 ， 而 不 必 经 过 路 由 器 来 进行 数据 包 的 转 递 。 


网 络 号 越 大 ， 表 示 3 


机 号 越 少 ， 也 即 网 段 内 可 以 分 配 的 IP 地 址 数量 就 越 少 。 这 说 明 网 


络 号 是 有 分 级 的 。 目 前 Intemet 将 IP 地 址 简单 地 分 成 三 种 常见 的 类 型 ， 即 所 谓 A、B、C 三 
类 地 址 ， 它 们 各 自 的 意义 如 图 2-3 所 示 。 


图 2-3 A. B. C EXE IP 地 址 


种 分 级 的 十 进 制 表示 如 下 : 


A 类 0.xx 


.XX.XX ~ 126.XX.XX.XX 


B 类 128.xx xx.xx—191.xx.xx.xx 
C 类 192.xx xx.xx —223.Xx.XX.xx 


细心 的 读者 可 能 会 发 现 127 xx.xx.xx 没有 列 出 ， 它 照 理 也 应 是 A 类 地 址 的 一 段 。 的 确 
如 此 ， 事 实 上 这 个 网 段 被 操作 系统 用 作 内 部 循环 网 络 测试 了 。 在 各 个 操作 系统 中 ， 不 管 该 
主机 的 硬件 有 没有 网 卡 ， 为 了 让 作业 确认 自己 的 网 络 没有 问题 ， 
到 操作 系统 上 ， 作 为 内 部 的 回路 测试 。 因 此 ， 像 127.0.0.1 就 不 可 以 再 用 作 


类 地 址 的 网 段 上 


其 他 网 卡 的 网 段 设 定 。 
4. 子 网 掩 码 与 子 网 划分 


前 面 提 到 
H: A 类 地 址 F 


便 将 127.xx.xx.xx 这 个 A 


|] A, B. C 三 类 IP 地 址 是 由 IP 协议 预 设 分 配 的 。 在 这 几 类 地 址 中 ， 不 难 发 


可 用 于 设 定 计算 机 主机 IP 地 址 的 数量 最 多 (主机 号 最 大 )。 在 同一 个 A 类 网 段 


内 ， 最 大 主机 数量 可 以 达到 27-2 个 。 但 是 ， 达 到 最 大 主机 数量 是 会 影响 

k 享 的 网 络 链 路 上 , 任何 一 台 主 机 想 要 使 用 时 , 就 得 使 用 CSMA/CD( 载 波 监 听 多 点 接 
4 方式 去 进行 网 络 监听 工作 。 对 于 这 样 大 的 一 个 网 络 架构 来 
MAC 帧 前 要 进行 的 CSMAVCD 会 造成 系统 很 严重 的 停顿 问题 。 


PA 


也 址 与 IP 地 址 对 应 的 广播 时 , 要 响应 的 主机 数量 太 多 ,这样 整 个 网 络 的 攻 
忆 此 ， 一 般 设 定 C 类 地 址 作为 整个 局 域 网 的 架构 ， 事 实 上 连 C 类 地 址 也 


个 网 络 内 的 主机 要 不 超过 30 台 ， 网 络 的 性 能 才 会 比较 好 。 
当然 还 可 以 对 C 类 网 络 继续 进行 划分 。32 位 IP 地 址 分 为 网 络 号 与 主机 号 两 部 分 ，C 类 


网 络 性 能 的 。 


说 ， 每 台 主 机 发 出 
和 进行 MAC 
能 就 会 变 得 很 差 。 
都 显得 太 大 了 。 一 


也 址 的 网 络 号 占 了 24 位 ， 而 且 还 可 以 划分 得 更 细 。 让 第 一 个 主机 号 位 用 


作 网 络 号 ， 整 个 网 


络 号 就 有 了 25 位 , 主机 号 则 减少 为 7 位 。 这 样 , 原来 的 一 个 C 类 网 络 就 被 划分 为 两 个 子 网 ， 


每 个 子 网 有 126(256/2-2) 个 可 用 的 耳 地 址 。 如 此 一 来 ， 该 网 络 中 的 3 


响应 的 主机 数量 就 减少 了 一 半 ， 这 对 于 网 络 的 性 能 是 有 好 处 的 。 
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那么 ， 到 底 是 什么 参数 实现 子 网 划分 的 呢 ? 这 就 是 子 网 掩 码 (Subnet Mask). Piin 


是 用 来 定义 网 络 


的 最 重要 的 一 个 参数 。 而 子 网 掩 码 的 设 定 依据 又 是 什么 呢 ? 继续 以 


192.168.10.0—192.168.10.255 这 个 网 段 为 例 ,该 类 IP 地 址 可 以 分 为 网 络 号 和 主机 号 两 部 分 ， 
由 于 网 络 号 是 不 可 变 的 ， 则 假设 它 所 占据 的 数据 位 都 已 被 用 光 ( 全 部 为 )， 而 主机 号 是 可 变 
的 ， 则 将 它 假设 成 是 保留 的 (全 部 为 0)， 子 网 掩 码 的 表示 如 图 2-4 所 示 。 


同 理 ，A、B、 


00. 00001010. 00000000 


001010: 11131111 


CIS 


图 2-4 子 网 掩 码 示例 
C 三 类 地 址 的 子 网 掩 码 的 表示 如 图 2-5 所 示 。 


: 11111111 
: 11111111.11111111. 00000000. 00000000 


因此 ，192.16 


: 11111111. 11111111. 11111111. 00000000 


图 2-5 A. B. C 三 类 地 址 的 子 网 掩 码 
8.10.0 一 192.168.10.255 这 个 C 类 网 段 的 子 网 掩 码 就 是 255.255.255.0. = 


主机 号 全 部 为 0 或 全 部 为 1 时 ， nd 是 不 可 以 使 用 的 。 因 为 主机 号 全 部 为 0 时 ， 表 示 
这 个 IP 地 址 是 该 网 段 的 网 络 地 址 ; 全 部 为 1 时 ， 则 表示 该 网 段 的 最 后 一 个 IP 地 址 被 用 作 广 


播 地 址 。 因 此 ， 
* 于 
今 “ 网 络 地 址 : 
今 “ 广 播 地 址 : 
* 


- 般 来 说 ， 妇 
为 由 子 网 掩 码 就 
网 络 ， 例 如 ， 下 丰 
网 络 地 址 / 子 友 


92.168.10.0 一 192.168.10.255 这 个 网 段 里 的 相关 网 络 参 数 就 有 如 下 几 个 。 
"Mijn: 255.255.255.0 ”网 段 定义 中 最 重要 的 参数 


192.168.10.0 第 一 个 卫 地 址 
192.168.10.255 ”最 后 一 个 了 P 地 址 


可 用 来 设 定 为 主机 的 了 P 地 址 数 ，192.168.10.1 一 192.168.10.254 


1 果 知 道 了 网 络 地 址 和 子 网 掩 码 ， 
以 推出 广播 的 瑟 Hhhb. E, $ 
i 的 写法 。 

HHEN: 192.168.10.0/255.255.255.0 


就 可 以 定义 出 该 网 络 的 所 有 IP 地 址 。 办 
节 会 以 网 络 地址 和 子 网 掩 码 来 表示 一 


192.168.10.0/24 (因为 网 络 号 共有 24 位 ) 


由 于 子 网 掩 


取 里 的 网 络 号 都 是 1， 而 C 类 地 址 共有 24 位 网 络 号 ， 所 以 就 有 


192.168.10.0/24 的 < 


写法 ， 这 也 是 一 般 网 络 的 表示 方法 。 前 面 提 到 C 类 网 络 还 可 以 继续 进行 


子 网 划分 ， 就 以 192.168.10.0/24 这 个 网 络 为 例 ， 看 看 如 何 再 细 分 为 两 个 子 网 。 既 然 主机 号 
可 以 用 来 当 作 网 络 号 ， 那 么 当 网 络 号 使 用 了 25 位 时 ， 就 可 以 划分 为 两 个 子 网 了 ， 如 图 2-6 
所 示 ， 而 且 两 个 子 网 还 可 以 这 文 样 再 细 分 下 去 。 
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图 2-6 子 网 划分 示例 


2.1.3 ”网络 层 路 由 简介 


以 太 网 在 物理 网 段 内 可 以 使 用 MAC 帧 直接 在 两 张 网 卡 之 间 传递 数据 。 在 Internet 环境 


中 ， 同 
与 MAC 地 


m 


-个 网 段 (网 络 号 相同 的 网 段 ) 内 可 以 直接 采用 广播 的 方式 以 ARP 协议 来 取得 IP 地 址 


址 的 对 应 ， 从 而 使 数据 可 以 在 同一 个 网 段 内 进行 传输 。 但 是 ， 如 果 要 向 不 在 同一 


个 网 段 的 主机 请 求 数据 ， 这 时 候 数据 包 该 如 何 传递 呢 ? 这 就 引出 了 路 由 (Route) 的 概念 ， 它 
是 网 络 层 里 的 一 个 重要 概念 。 


1. Internet 的 路 由 


riidh 
号 不 同 。 两 
所 示 ， 图 中 


一 个 网 段 就 是 网 络 地 址 / 子 网 掩 码 不 在 同一 个 地 址 ， 也 就 是 两 个 主机 间 的 网 络 
个 非 同 一 个 网 段 的 主机 需要 互相 通信 时 , 就 要 利用 IP 的 路 由 选择 功能 。 如 图 2-7 
有 两 个 不 同 的 网 段 ， 分 别 是 LAN1 与 LAN2， 这 两 个 网 段 通过 一 个 路 由 器 (R1) 


来 进行 数据 转 递 。 当 客户 机 BOB 想 要 传送 数据 到 客户 机 DARK 时， 它 的 IP 数据 包 该 如 何 


传输 呢 ? 
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客户 机 DARK 
客户 机 BOB 172.18.12.8 
192.16&10.8 


192.168.10.1 


172.18.12.1 


LAN2 
J 172.18.12.0 


LANI 
192.168.10.0 


图 2-7 路 由 器 示意 图 
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于 LAN1(192.168.10.0/24) 和 LAN2(172.18.12.0/24) 是 不 同 网 段 ， 所 以 BOB 与 DARK 
不 能 直接 互通 数据 。 当 然 ，BOB 和 DARK 是 通过 网 络 号 来 发 现 它们 不 在 同一 个 网 段 内 的 。 
当主 机 想 要 传送 数据 时 ， 主 要 的 参考 就 是 路 由 表 ， 每 个 主机 都 有 自己 的 路 由 表 。 在 本 例 中 ， 
BOB 将 数据 传送 到 DARK 的 过 程 大 致 如 下 。 

(1) 当 BOB 有 下 T 数据 包 需 要 传送 时 ， 主 机 首先 会 查看 他 数据 包 表 头 的 目的 卫 地 址 。 

Q) BOB 接着 会 分 析 自 己 的 路 由 表 ， 当 发 现 目的 IP 地 址 与 本 机 IP 地 址 的 网 络 号 相同 
时 ( 即 在 同一 网 段 )， 则 BOB 将 会 参考 自己 的 ARP 记录 ， 直 接 利用 MAC 帧 来 传递 数据 。 在 
本 例 中 ，BOB 与 DARK 并 不 在 同一 网 段 ，BOB 会 分 析 路 由 表 中 是 否 有 相符 合 的 路 由 设 定 。 
如 果 没 有 ， 就 直接 将 该 他 数据 包 送 到 默认 网 关 。 本 例 中 的 默认 网 关 是 R1。 

G) 当下 数据 包 被 送 至 Rl 后 ，R1 同样 先 分 析 该 他 数据 包 的 目的 地 址 ， 然 后 检查 RI 
自己 的 路 由 设 定 。 通 常 ， 作 为 路 由 器 的 主机 R1， 会 有 两 个 以 上 的 接口 来 连接 不 同 的 网 段 。 
ERPF, RI 会 发 现 亿 数据 包 的 目的 地 址 是 172.18.12.8， 正 好 是 LAN2 网 段 的 区 域 。 因 此 
RI 会 直接 以 MAC 帧 将 数据 传送 给 DARK. 

每 一 个 主机 都 会 有 一 个 路 由 表 ， 数 据 的 传递 将 依据 这 个 路 由 表 进 行 。 一 旦 数据 包 依据 
路 由 表 的 规则 传送 出 去 后 ， 主 机 自己 就 不 再 管 数据 包 的 流向 了 。 该 数据 包 的 流向 将 由 下 一 
跳 路 由 器 来 决定 ， 而 下 一 跳 路 由 器 在 传递 时 ， 也 是 依据 自己 的 路 由 表 来 判断 数据 包 该 经 由 
哪里 传送 出 去 。 

如 图 2-8 所 示 ， 客 户 机 Alex 要 将 数据 传送 到 服务 器 Zoom， 则 依据 自己 的 路 由 表 ， 先 
将 数据 包 送 到 路 由 器 Fahringer，Fahriger 再 继续 传送 到 下 一 跳 路 由 器 ,这样 一 个 一 个 接力 传 
递 下去， 最 后 总 是 可 以 到 达 Zoom 的 。 


路 由 器 Fahringer 服务 器 Zoom 


客户 机 Alex 


Intemet 上 的 多 台 路 由 器 


图 2-8 Internet 路 由 器 的 传 接 

上 例 只 是 介绍 了 一 种 很 简单 的 路 由 ， 事 实 上 ，Intemet 上 的 路 由 协议 与 变化 是 相当 复杂 
W, KX Interet 上 的 路 由 并 不 是 静态 的 ， 它 可 以 随时 根据 环境 变化 而 修改 每 个 数据 包 的 传 
送 方 向 。 要 深入 地 了 解 路 由 可 参考 其 他 相关 资料 。 

2. 主机 路 由 表 的 操作 

既然 路 由 这 么 重要 ， 而 且 一 旦 设 定 错误 ， 将 会 造成 某 些 数据 包 完 全 无 法 正确 送出 ， 所 
以 ， 需 要 仔细 查看 主机 的 路 由 表 (每 个 主机 都 有 自己 的 路 由 表 )。 查 看 路 由 表 的 指令 很 简单 ， 
就 是 route， 具 体 命令 格式 如 图 2-9 所 示 。 
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Flags Metric 


0 
0 
0 
0 
0 


用 的 网 络 接口 ， 例 如 ， 


10.1.0.0/255.255.255.0 的 路 由 规则 里 ， 
络 接口 传送 出 去 ， 而 不 经 过 网 关 ; 如 果 要 传送 的 数据 包 目 的 他 地 址 不 在 路 由 规则 :4 
数据 包 按 默认 的 路 由 规则 ( 即 路 由 表 中 default 字段 后 面 的 网 关 地 址 ) 传 送出 去 ， 
211.65.63.1 网 关 传递 。 几 乎 每 一 台 主 机 都 会 有 一 个 默认 网 关 来 负责 所 有 非 同 一 网 段 内 的 数 


据 包 转 弟 


可 以 添加 和 删除 路 由 表 中 的 路 由 。 比 如 : 
IP EA ethl 号 网 卡 传输 。 可 以 使 用 下 面 的 命令 : 


route add -net 192.168.1.0 netmask 255.255. 


结果 如 图 2-10 所 示 ， 路 由 表 第 


route del -net 192.168.1. 


*36* 


图 2-9 查看 路 由 表 
输入 route 指令 后 ， 图 中 的 路 由 表 显 示 这 人 台 主 机 上 共有 5 个 路 由 规则 。 路 由 表 : 
为 目的 网 络 地 址 ， 例 如 ，10.1.0.0 就 是 


-个 目的 网 络 地 址 ; 最 后 一 


由 于 其 网 关 地 址 列 为 “*”， 


添加 新 网 段 192.168.1.0， 则 所 有 到 上 


255.0 dev ethl 


- 行 出 现 了 刚才 所 添加 的 路 由 。 删 除 


netmask 255.255.255.0 dev ethl 


S9 
:到 达 目 的 网 络 所 要 使 
据 包 在 
应 的 网 
1, MK 


所 以 会 直接 通过 


网 段 的 


即 通过 
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2.1.4 TCP/IP 常见 网 络 协议 简介 


1. ARP 和 RARP 协议 


IP 
包 传送 给 
网 络 层 
也 址 有 32 位 ， 硬 件 地 址 是 48 位 ， 
经 常会 有 新 的 主机 


目 


ARP( 地 址 解 


Ed 


也 址 。 在 地 
的 主机 能 够 知道 其 IP 地 址 ， 这 种 3 


也 址 只 是 主机 在 抽象 网 络 层 中 的 地 址 ， 不 能 直接 用 来 通信 。 若 要 将 网 络 


加 入 ， 或 撤 走 一 些 主机 ， 更 换 网 卡 也 会 使 主机 硬件 地 址 改变 。 
机 中 应 该 存放 一 个 从 他 地 址 到 硬件 地 址 的 映射 表 , 并 且 这 个 映射 表 必须 能 经 常 地 动态 更 新 。 
协议 ) 很 好 地 解决 了 这 个 问题 。 只 要 主机 或 路 
也 址 的 主机 或 路 由 器 进行 通信 ，ARP 协议 就 会 自动 将 该 全 地 
址 转换 时 ， 有 时 还 要 用 到 逆 地 址 解析 协议 RARP。RARP 使 只 知道 自己 硬件 


简 而 言 之 ，ARP 协议 实现 


E 机 往往 是 无 盘 工 作 站 。 
IP 地 址 查找 MAC 地 址 ，RARP 协议 实现 由 MAC 地 址 查 


层 中 的 数据 


的 主机 ， 还 需要 传 到 链 路 层 转变 成 MAC 帧 后 才能 发 送 到 物理 网 络 上 。 所 以 不 管 
的 是 什么 协议 ， 在 实际 网 络 链 路 上 传递 数据 帧 时 ， 


最 终 还 是 必须 用 硬件 地 址 。IP 
所 以 它们 之 间 不 存在 简单 的 映射 关系 。 一 个 网 络 上 可 能 
因此 ， 主 


器 要 和 本 网 络 上 另 一 已 知 IP 
址 解析 为 链 路 层 所 需要 的 硬件 
地 址 


找 IP 地 址 。 
2. UDP 协议 


UDP 在 IP 的 数据 包 服务 的 基础 上 增加 了 端口 功能 和 差错 检测 功能 。 与 TCP 不 同 , UDP 


用 户 数 据 包 只 提供 不 可 靠 的 交付 。UDP 


0 


用 户 数 据 包 的 格式 如 图 2-12 所 示 。 
16 


31 


UDP 源 地 址 端口 | 


UDP 目标 地 址 端口 


UDP 数据 包 长 度 | 


UDP 校 验 头 


2-12 UDP 报 文 格式 
于 不 需要 确认 对 方 是 否 已 正确 接收 到 数据 ， 所 以 UDP 用 户 数据 包 的 首部 比较 简单 ， 


只 有 8 个 字 节 ， 分 4 个 字段 ， 每 个 字段 2 个 字 节 。UDP 比较 适合 需要 实时 反应 而 数据 正确 
性 不 是 很 重要 的 应 用 场合 ， 例 如 ， 卫 电话、 实时 视频 等 。UDP 的 优点 如 下 。 


$ 


发 送 数据 前 不 需要 建立 连接 ， 


因 


而 发 送 数据 结束 时 也 没有 连接 需要 释放 ， 从 而 减 


少 了 开销 和 发 送 数据 之 前 的 时 延 。 


ES 
复杂 的 连接 状态 表 。 
E 


HF UDP 没有 拥塞 控制 ， 


UDP 用 户 数据 包 只 有 8 个 字 节 


UDP 不 使 用 拥塞 控制 ， 也 不 保证 可 靠 支付 ,因此 主机 不 需要 维持 具有 许多 参数 的 、 


的 首部 开销 ， 比 TCP 的 20 个 字 节 的 首部 要 短 。 
因此 网 络 出 现 的 拥塞 不 会 使 源 主机 的 发 送 速率 降低 。 这 
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对 某 些 实时 应 用 很 重要 。 
3. TCP 协议 


TCP 是 TCP/IP 体系 中 面向 连接 的 传输 层 协议 ， 它 提供 全 双 工 和 可 靠 交 付 的 服务 。TCP 
和 UDP 最 大 的 区 别 就 是 : TCP 是 面向 连接 的 ，UDP 是 无 连接 的 。 

卫 协议 仅 负责 将 数据 包 传送 到 正确 的 目的 主机 而 已 ， 至 于 目的 主机 是 否 真 的 接收 了 该 
数据 包 就 不 一 定 了 。 要 确认 该 数据 是 否 被 目的 主机 正确 接收 ， 必 须 在 数据 包 上 增加 一 些 参 
数 来 判断 ，TCP 报 文 段 (segment) 的 首部 就 提供 了 这 样 一 些 参数 信息 。 
如 图 2-13 所 示 就 是 一 个 TCP 报 文 段 的 格式 ， 分 首部 和 数据 两 部 分 。 首 部 的 前 20 个 字 
节 是 固定 的 ， 后 面 的 4NGN 为 整数 ) 字 节 是 长 度 可 变 的 选项 。TCP 的 全 部 功能 都 体现 在 其 首 
部 中 各 字段 的 作用 。 要 掌握 TCP 的 工作 原理 必须 先 搞 清 其 首部 各 字段 的 作用 ， 其 中 ， 源 端 
、 目 的 端口 及 控制 比特 是 比较 重要 的 字段 。 
0 4 10 16 24 31 


TCP 源 地 址 端口 TCP 目标 地 址 端口 


数据 


EUM 
FE 窗口 


校 验 和 紧急 指针 


数 据 
数 据 


2-13 TCP 报 文 格式 


了 解 TCP 的 特点 和 报 文 格式 后 ， 还 需要 了 解 与 之 密切 相关 的 一 个 概念 ， 网络 端口 。 端 
是 操作 系统 提供 的 与 其 他 主机 进行 数据 交换 的 通道 ， 端 口 的 通信 和 是 双向 的 ， 两 台 主机 通 
过 开启 同一 个 端口 使 启动 的 程序 实现 数据 交换 。 例 如 ， 当 用 户 从 FTP 服务 器 下 载 资料 时 ， 
启动 FTP 软件 ， 它 通过 21 号 端口 与 FTP 发 送 命令 进行 连接 ， 连 接 成 功 后 ，FTP 软件 启动 
FTP-DATA， 通 过 20 号 端口 传输 数据 ， 将 FTP 服务 器 上 的 资料 下 载 到 本 地 。 

每 台 主 机 有 215( 即 65536) 个 网 络 端口 可 供 使 用 , 那么 应 用 程序 如 何 选 择 端 口 呢 ? 又 如 何 
避免 端口 选择 时 的 冲突 呢 ? WIE, Internet 规定 了 很 多 流行 应 用 程序 的 端口 号 ， 这 些 端口 号 
通常 小 于 1024。 当 启动 新 的 应 用 程序 , 其 端口 没有 设 定时 , 将 在 大 于 1024 的 空闲 端口 中 选取 。 

在 Linux 系统 中 , /etc/services 配置 文件 规定 了 网 络 应 用 程序 (或 者 称 为 网 络 服务 ) 与 端 
的 对 应 关系 , 常用 的 网 络 应 用 程序 的 固定 端口 如 表 2-1 中 所 列 , 在 后 面 章节 针对 各 类 服务 器 
的 配置 中 将 会 用 到 。 


。38 。 


s $823 Linux 服务 器 基本 网 络 配置 = 


52-1 TCP 常用 端口 与 描述 


im n jü 述 
20 FIP 协议 主动 数据 传输 端口 
21 FIP 协议 的 命令 通道 
22 安全 的 远程 连接 端口 
23 早期 的 远程 连接 端口 
25 简单 邮件 传输 协议 所 使 用 的 端口 
53 域名 解析 端口 
80 Web 服务 器 端口 
110 邮件 收 信 协 议 端口 


4. ICMP 协议 


为 提高 IP 数据 包 交 付 


成 功 的 机 会 ， 网 际 层 使 用 了 因特网 控制 报 文 协议 ICMP(Internet 


Control Message Protocol). ICMP 允许 主机 或 路 由 器 报告 差错 情况 和 提供 有 关 异 常情 况 的 报 


-3 
Fio 


ICMP 是 因特网 标准 协议 ,但 不 是 


据 包 的 数据 ， 加 上 数据 包 的 


ICMP 主要 完成 以 下 4 


民 协 议 ， 而 是 网 络 层 协议 。ICMP 报 文 作为 IP 层 数 
首部 ， 组 成 数据 包 发 送出 去 。 
个 功能 。 


仿 “ 流 量 控制 : 当 数 据 接收 方太 忙 时 ， 就 不 能 接收 发 送 方 传 入 的 数据 流 ， 接 收 方 发 送 


源 站 抑止 报 文 ，b 


中 止 数据 流 的 发 送 。 


仿 “ 不 能 到 达 目 的 地 警告 ， 如 果 网 络 上 的 主机 检测 到 其 目的 是 不 可 达 的 ， 不 管 是 因为 


目的 地 址 与 网 络 上 
^ "Hifi 


-的 机 器 操作 不 匹配 ， 还 是 因为 连接 错误 ， 它 都 将 向 发 送 方 发 送 
E" BEC. 


分 ” 重 定向 路 由 网 关 发 送 ICMP 重 定向 报 文 ， 以 告诉 发 送 方 使 用 另 一 个 网 关 。 比 如 ， 
网 关 A 接收 来 自 某 主 机 的 一 个 报 文 ， 该 报 文 要 发 送 到 某 一 指定 的 网 络 ， 如 果 网 关 
A 知道 主机 如 果 使 用 网 关 B. 能 够 更 快 地 到 达 目 的 网 络 , 网关 A 就 将 发 送 一 个 ICMP 
重 定向 报 文 ， 告 诉 发 送 主机 将 报 文 发 送 到 网 关 B. 


今 “ 检 查 远 程 主机 : IC 
为 ping 报 文 分 组 。 


MP 回 送 报 文 用 于 检查 互联 网 络 上 各 主机 的 连通 性 , 通常 又 被 称 


的 点 评 与 拓展 : 除了 上 述 介 绍 的 协议 ，TCP/IP 协议 族 还 包括 IGP, BGP, SMTP 等 
多 种 协议 , 本 小 节 仅 介绍 与 后 续 章 节 有 联系 的 几 种 协议 。 读 者 如 果 需 要 更 深入 地 了 解 TCP/IP 
协议 族 ， 可 以 参考 其 他 一 些 有 关 的 资料 。 
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2.2 Linux 系统 的 网 络 配置 


应 用 实例 导航 一 一 Linux 系统 基本 网 络 配置 


xd EH 


A 公司 需要 将 内 部 局 域 网 的 所 有 主机 都 接 入 Intermet， 局 域 网 内 设置 了 一 台 主机 作为 网 
它 通过 ADSL 接 入 Internet。 局 域 网 内 的 其 他 主机 通过 该 网 关 接 入 Internet。 

要 求 分 别 对 局 域 网 内 的 主机 进行 相应 的 网 络 参数 配置 ， 并 在 网 关 主 机 上 建立 ADSL 连 
接 ， 使 其 连 上 Internet. 


KAREN 


(D 了 解 Linux 系统 中 与 网 络 相关 的 配置 文件 。 
(2) 配置 局 域 网 内 主机 的 网 络 参数 。 
(3) 利用 re-pppoe 软件 进行 ADSL 连接 的 配置 。 


本 节 讲 述 如 何 使 Linux 服务 器 连接 Internet。 一 般 来 说 ， 不 管 是 PC 还 是 服务 器 ， 最 终 
都 是 通过 网 络 服 务 供应 商 (ISP) 接 入 Internet 的 ， 现 在 最 流行 的 方式 是 通过 ADSL 拨号 连接 
Intemet。 当 网 关 服 务 器 连接 Internet 后 ， 其 子 网 内 的 主机 就 可 以 通过 配置 相应 的 网 络 参数 经 
网 关连 接 nternet。 因 此 ， 本 节 将 分 别 介绍 这 两 种 联网 的 方式 ， 在 此 之 前 ， 还 要 简单 介绍 一 
下 Linux 系统 下 与 网 络 相关 的 几 个 配置 文件 的 功能 和 意义 ,这 在 后 面 的 章节 中 也 会 经 常用 到 。 


类 


2.2.1 Linux 网 络 相 关 配 置 文件 简介 


在 Linux 服务 器 连接 Internet 之 前 ， 需 要 首先 介绍 Linux 系统 中 与 网 络 相关 的 一 些 配 置 
文件 ，Linux 需要 通过 读 取 这 些 网 络 配置 文件 中 的 参数 才能 连 上 Internet 

+ /etc/sysconfig/network 
该 配置 文件 用 于 控制 与 网 络 有 关 的 文件 ， 及 设置 守护 进程 的 行为 参数 。 
HOSTNAME、NETWORKING、GATEWAY 等 重要 的 网 络 参数 都 在 此 设 定 。 

+ /etc/sysconfig/network-scrips/ifcfg-ethn 
该 配置 文件 用 于 设 定 网 卡 的 参数 ，ethn 表示 网 卡号 ， 第 一 块 网 卡 的 号 码 为 eth0， 
第 二 块 为 eth1， 以 此 类 推 。 该 文件 包含 了 网 卡 的 network, IP. broadcast, gateway 
fll DHCP 等 重要 参数 。 

+ /etc/resolv.conf 
该 配置 文件 用 于 设 定 域名 搜索 顺序 和 DNS 服务 器 的 地 址 ， 每 一 行 遵 循 格式 “关键 
字 设 定 值 1 设 定 值 2……”， 即 一 个 关键 字 对 应 一 个 或 多 个 设 定 值 ， 之 间 以 空格 
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符 隔 开 。 详 细 的 关键 字 及 其 描述 如 表 2-2 所 示 。 
*  letc/hosts 

该 配置 文件 用 于 设 定 IP 地 址 和 主机 名 之 间 的 对 应 关系 ， 以 利于 主机 快速 从 主机 名 

中 查找 到 IP 地址。 本 机 所 有 主机 名 与 IP 的 对 应 关系 以 及 子 网 主机 名 与 IP 对 应 关 

系 必须 写 入 此 文件 中 ， 图 2-14 显示 了 /etc/hosts 的 一 个 实例 ， 其 中 的 标注 部 分 是 本 
机 的 两 个 主机 名 与 TP 的 对 应 关系 , 下 面 列 出 了 内 部 子 网 的 主机 名 与 IP 地 址 的 对 应 
关系 。 外 部 主机 名 和 了 P 的 对 应 可 以 不 列 在 该 文件 中 , 因为 可 以 通过 DNS 服务 器 查询 。 


表 2-2 resolv.conf 文件 的 关键 字 描述 


关键 字 d 述 
表示 DNS 服务 器 的 IP 地 址 , 通常 
继续 查询 下 一 个 namesserver 
domain 表示 主机 的 域名 

与 domain 关键 字 不 能 并 存 。search 指定 域名 的 查询 顺序 ， 当 查找 没有 域名 的 主机 时 ， 就 
由 search 设 定 值 指定 的 域 进行 逐一 查找 

sortlist 设 定 将 得 到 的 域名 的 排序 方式 ， 排 序 依据 为 网 络 / 子 网 掩 码 的 序列 对 


当 第 一 个 nameserver 没有 响应 时 ， 


置 多 个 nameserver, 
nameserver 


search 


2-14”/etc/hosts 文件 示例 


+ [etc/nsswitch.conf 
该 配置 文件 用 于 管理 多 个 配置 文件 的 查找 顺序 ， 它 是 由 Sun 公司 设计 开发 的 ， 规 
定 了 系统 到 哪里 查询 主机 名 ， 当 存在 多 个 配置 文件 时 规定 以 何 种 顺序 去 查询 。 每 
- 行 遵循 格式 “关键 字 : 设 定 值 1 设 定 值 2…… ^", 后 以 冒号 分 隔 ， 设 定 值 
之 间 以 空格 符 分 隔 。 详 细 的 关键 字 及 其 描述 如 表 2-3 所 示 ， 设 定 值 及 其 描述 如 
表 2-4 所 示 。 


表 2-3 nsswitch.conf 文件 的 关键 字 描 述 


关键 字 d xk 字 
aliases | 邮件 别名 rotocols | 网 络 协议 
. passwd. | 系统 用 户 services | 服务 名 称 和 端口 号 
_group | 用 户 组 ethers | 以 太 网 号 
shadow | 用 户 的 密码 rpc | 远程 过 程 调用 的 名 称 
hosts | netgroup | 网 内 组 


networks 网 络 名 称 
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+ /etc/services 
该 配置 文件 用 于 设 定 服务 名 称 和 端口 号 之 间 的 对 应 关系 ， 每 一 行 遵循 格式 “服务 
名 端口 号 /协议 名 ”, 很 多 系统 程序 通过 该 文件 查询 系统 服务 使 用 了 何 种 网 络 协议 、 
端口 号 为 多 少 。 


有 用 


的 点 评 与 拓展 : 本 节 中 介绍 的 这 些 与 网 络 相 关 的 配置 文件 ， 不 仅 在 本 章 网 络 配置 时 
， 在 后 面 章节 配置 服务 器 时 也 经 常 需要 对 这 些 文件 进行 配置 ， 对 这 些 文件 的 透彻 理解 


会 使 后 面 章节 的 学 习 事 半 功 倍 。 


表 2-4 nsswitch.conf 文件 的 设 定 值 描述 
描 述 


除了 netgroup， 对 其 他 关键 字 都 有 效 ， 到 相应 的 /etc 目录 下 的 配置 文件 去 查询 ， 比 如 hosts 对 
应 的 配置 文件 就 是 /etc/hosts 
除了 netgroup， 对 其 他 关键 字 都 有 效 ， 到 相应 的 /var/db 数据 库 中 查询 ， 数 据 库 中 的 记录 通常 


NETS LI 

compat | 兼容 模式 ， 仅 对 passwd, group 和 shadow 关键 字 有 效 

dns 只 对 hosts 关键 字 有 效 ， 表 示 通 过 DNS 服务 器 查询 

nis 对 所 有 关键 字 都 有 效 ， 表 示 通 过 NIS 服务 器 查询 
2.2.2 通过 LAN 网 关 接 入 Internet 


很 多 公司 机 构 和 学 术 部 门 都 采用 通过 LAN. 网 关 接 入 Internet 的 方式 ， 网 关 利 用 ADSL 


接 入 Intemet。 本 节 首 先 介绍 单 网 卡 的 服务 器 如 何 通过 网 关 接 入 Intemet， 然 后 介绍 多 网 卡 的 
服务 器 如 何 既 连接 内 部 子 网 ， 又 通过 网 关 接 入 Internet。 


如 果 服 务 器 只 有 一 块 网 卡 ， 其 网 卡号 通常 是 eth0， 在 确保 网 卡 驱动 安装 无 误 、 网 卡 正常 工 
作 的 情况 下 ， 就 可 以 对 /etc/sysconfig/network-scrips/ifefg-eth0 配置 文件 进行 设 定 ， 利用 vi 命 
令 打开 该 配置 文件 ， 如 图 2-15 所 示 。 进 行 如 图 2-16 所 示 的 设置 ， 其 中 : DEVICE 设 定 项 是 
网 卡号 ,为 eth0; HWADDR 设 定 项 是 惟一 标识 该 网 卡 的 MAC 地 址 ; ONBOOT 设 定 项 表 
示 是 否 存 在 内 部 子 网 ， 单 网 卡 主机 通常 设置 为 no; IPADDR 设 定 项 是 该 网 卡 所 绑 定 的 王 地 
址 ， 这 需要 根据 实际 网 络 而 定 ， 通 常 利用 网 关连 上 Internet 的 机 构 或 部 门 会 规定 IP 地 址 的 
范围 ,该 设 定 项 可 以 在 他 范围 内 任意 选择 , 但 是 不 能 跟 已 经 联网 的 也 地址 冲突 ， 本 例 中 为 
172.18.12.178; NETMASK 设 定 项 是 子 网 掩 码 ， 也 由 机 构 或 部 门 规定 ， 本 例 为 
255.255.255.128; GATEWAY 设 定 项 为 网 关 的 地 址 ， 就 是 直接 与 Internet 相连 主机 的 内 部 地 
址 ， 也 由 机 构 或 部 门 规定 ， 本 例 为 172.18.12.129; TYPE 设 定 项 为 局 域 网 类 型 ， 一 般 是 以 太 
Wi; IPV6INIT 设 定 项 表示 是 否 允许 IPv6 报 文 ， 一 般 设 为 no。 设 定 完 毕 后 ， 可 使 用 下 面 命 
令 启 动 网 络 服务 : 


/etc/init.d/network start 


如 果 网 络 服务 已 经 启动 ， 需 要 使 用 下 面 命令 重启 网 络 服务 以 重新 读 取 配置 文件 的 设置 : 


/etc/init.d/network restart 
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7 Family) LAN 


图 2-16 ifcfg-ethO 设 定 内 容 


Linux 提供 了 ifconfig $ 令 查 看 所 有 网 卡 的 信息 ,输入 命令 后 的 结果 如 图 2-17 所 示 。 可 
以 看 到 shell 出 现 了 两 块 网 卡 的 信息 ，eth0 和 1lo， 其 中 的 eth0 即 为 上 面 设 定 的 连接 网 关 的 网 卡 ， 
lo 为 环 路 网 卡 ， 绑 定 的 是 127.0.0.1 本 地 IP， 仅 用 于 测试 


图 2-17 查看 所 有 网 卡 的 信息 


@@ 接着 以 装 有 两 块 网 卡 的 服务 器 为 例 讲述 多 网 卡 服 务 器 的 配置 , 两 块 网 卡 分 别 为 etho 和 ethl， 


将 eth0 号 网 卡 用 于 连接 内 部 子 网 ，ethl 号 网 卡 用 于 连接 外 部 网 关 从 而 接 入 Internet， 打 开 
/etc/sysconfig/network-scrips/ifcfg-eth0 文件 , 将 IPADDR 设 定 项 置 为 内 部 子 网 的 IP 地 址 ,本 
例 为 10.1.0.1; NETMASK 设 定 项 置 为 内 部 子 网 的 掩 码 ， 本 例 为 5.0; 由 于 此 时 存 
在 内 部 子 网 ， 因 此 ONBOOT 设 定 项 置 为 yes; HWADDR 设 为 eth0 号 网 卡 的 MAC 地 址 ， 
详细 设 定 如 图 2-18 Bros. 然后 , 打开 /etc/sysconfig/network-scrips/ifcfg-ethl 文件 , 将 IPADDR 
设 定 项 置 为 该 服务 器 对 外 的 IP 地址， 本 例 为 211.65.63.146; HWADDR 设 为 ethl 号 网 卡 的 
MAC 地 址 ; ONBOOT 设 定 项 同样 置 为 yes; 此 时 必须 设 定 GATEWAY 地 址 ， 本 例 为 
211.65.63.1， 详 细 设 定 如 图 2-19 所 示 。 设 定 完 毕 后 ， 同 样 需 要 启动 或 重启 系统 网 络 服务 。 
同样 可 以 使 用 ifconfig 系统 命令 查看 所 有 网 卡 的 信息 ， 输 入 命令 后 的 结果 如 图 2-20 所 示 ， 


。43 。 


Linux 服务 器 架设 与 管理 


可 以 看 到 eth0 和 ethl 两 块 网 卡 的 信息 都 显示 在 了 shell 上 ,从 中 可 以 检查 网 卡 的 设 定 是 否 正确 。 


四 点 评 与 拓展 : 网 卡 设置 时 的 全 地址 、 网 关 地 址 和 子 网 掩 码 等 网 络 参数 是 在 局 域 网 
设计 之 初 就 确定 好 的 ， 用 户 可 以 从 网 络 管理 员 处 获得 。 


网 
© 
E 
WH 
3 
zt 
Ez 
»t 
k:] 
机 
m 
E) 
Li 


[rootücgsp 


图 2-20 查看 所 有 网 卡 的 信息 


2.2.3 通过 ADSL 接 入 Internet 


目前 直接 接 入 Internet 最 流行 的 方法 就 是 通过 ADSL， 在 局 域 网 内 作为 网 关 的 主机 通常 
就 利用 该 方法 接 入 Internet, AKRE Linux 服务 器 如 何 使 用 ADSL. 
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o Linux 系统 提供 的 rp-pppoe 软件 就 是 用 来 通过 ADSL 4£ X Internet £j, Fedora 6 默认 安装 了 
Ip-pppoe 软件 的 3.5 版 本 。 可 以 使 用 下 面 的 命令 检查 tp-pppoe 是 否 已 安装 (如 图 2-21 所 示 ): 


rpm -qa | grep ppp 


如 果 系 统 尚未 安装 rp-pppoe 软件 ， 利 用 Fedora 6 安装 包 上 的 rzpm 包 进行 安装 。 


]# rpm -qa | 


图 2-21 检查 rp-pppoe 是 否 安装 


需要 对 该 服务 器 的 网 络 进行 重新 配置 ， 打 开 /etc/sysconfig/network X 


© 建立 ADSL 连接 之 前 ， 
件 ， 此 时 该 文件 只 
GATEWAYDEYV 这 两 个 参数 一 定 要 确保 是 空 值 ， 否 则 ADSL 将 无 法 连接 ， 如 图 2-22 所 示 。 
对 用 于 ADSL 的 网 卡 也 可 以 简化 其 配置 ， 在 ADSL 连接 中 起 作用 的 只 有 DEVICE 和 
ONBOOT 两 个 参数 ， 其 他 参数 即使 设置 也 不 起 作用 ， 如 图 2-23 所 示 。 最 后 使 用 下 面 的 命令 
重启 Linux 网 络 服务 使 network 和 eth0 设置 生效 ， 如 图 2-24 所 示 。 


Ba 
z 
38 
> 
eh 
E 
4 
d 
z 
S 
E 
品 
Q 
3 
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o 
Nn 
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Q 
» 
3 
ti 
Z 
» 
e 
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/etc/init.d/network restart 
另外 ， 还 需要 将 用 于 ADSL 连接 的 eth0 号 网 卡 停止 ， 输 入 下 面 命令 ; 
ifdown eth0 


fig]f pwd 


V] 


2-23 简化 eth0 号 网 卡 设置 


图 2-24 重启 网 络 服务 
© 对 用 于 接 入 ADSL 的 网 卡 重新 配置 后 , 就 可 以 新 建 ADSL 连接 了 , 可 通过 执行 /usr/sbin/adsl- 
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setup 命令 来 实现 。 执 行 该 命令 后 ，shell 首先 提示 输入 ADSL 账号 ， 这 个 账号 由 ISP 提供 ， 
接着 输入 用 于 接 入 ADSL 的 网 卡号 ， 即 上 步 所 停止 的 那 块 网 卡 ， 如 图 2-25 所 示 。 


图 2-25 ”输入 ADSL 账号 


接着 根据 shell 提示 输入 DNS 主 服务 器 及 备用 服务 器 的 地 址 ， 可 根据 实际 情况 进行 设置 ; 
然后 输入 ADSL 账 号 的 密码 ; USERCTRL 部 分 选择 是 否 允 许 一 般 系统 用 户 启动 或 停止 ADSL 


连接 ， 根 据 实 


示 需 要 选择 yes 或 no， 如 图 2-26 所 示 。 


图 2-26 设置 DNS 地 址 和 ADSL 密码 


接着 选择 此 ADSL 连接 的 防火 墙 类 型 ， 通 常 选择 0; 然后 选择 是 否 在 系统 启动 时 就 启动 此 
ADSL 连接 ， 一 般 选 择 yes， 如 图 2-27 所 示 。 这 样 ， 一 个 ADSL 就 创建 完成 了 ，shell 将 显 
示 上 述 几 步 所 设置 的 详细 内 容 ， 用 户 确认 后 ，shell 提示 ADSL 创建 成 功 ， 如 图 2-28 所 示 。 


2-27 设置 ADSL 防火 墙 
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ifcfg-pppü* 


图 2-28 ADSL 连接 创建 成 功 


O ADSL 连接 创建 成 功 后 ， 可 以 使 用 下 面 命令 接 入 Intemet( 如 图 2-29 所 示 ): 


adsl-start 


2| 


2-29 利用 adsl-start 进行 连接 


的 点 评 与 拓展 : 使 用 ADSL 连接 Internet 时 ,要 确保 不 设置 网 关 地 址 ,另外 用 于 ADSL 
的 网 卡 需 要 停止 。 


2.3 Linux 路 由 的 架设 


应 用 实例 导航 一 一 Linux 单 网 卡 主 机 架设 路 由 


※ 场 景 呈现 

A 公司 需要 在 一 台 单 网 卡 的 主机 上 架设 路 由 , 要 求 既 与 外 部 网 关 的 ADSL 接 入 Intemet, 
又 与 内 部 子 网 的 主机 进行 连接 。 

※ 技 术 要 领 

(1) 单 网 卡 绑 定 多 个 他 地址 。 

(2) Linux 系统 的 路 由 配置 。 
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从 2.1.3 节 “Internet 的 路 由 ”的 论述 中 知道 ， 路 由 像 桥梁 一 样 将 不 同 网 段 的 主机 连接 起 
来 ， 路 由 在 每 个 不 同 网 段 内 都 有 一 个 他 地址, 每 个 人 P 地 址 就 需要 对 应 一 块 网 卡 。 当 某 台 服 


务 器 只 有 一 
能 呢 ? 本 节 


块 网 卡 时 ， 能 和 否 作为 路 由 器 呢 ? 即 能 否 由 一 块 物 理 网 卡 提供 多 块 罗 辑 网 卡 的 功 
将 解释 这 个 问题 。 


2.3.1 创建 虚拟 网 卡 


与 不 同 


S IP 绑 定 需要 不 同 的 逻辑 上 的 网 卡 ,将 这 些 逻 辑 上 有 意义 的 网 卡 称 为 虚拟 网 卡 。 


虚拟 网 卡 指 的 不 是 一 个 物理 实体 ， 可 能 多 个 虚拟 网 卡 共用 一 块 实体 网 卡 ， 所 以 只 有 一 块 网 


的 服务 器 
首先 讲述 妇 
O tz- 


ethl 号 


可 以 通过 建立 多 个 虚拟 网 卡 来 与 不 同 网 段 的 IP 绑 定 ， 从 而 实现 路 由 功能 。 下 面 
可 创建 虚拟 网 卡 。 

人 台 服 务 器 有 两 块 物理 网 卡 ,eth0 和 ethl,eth0 号 网 卡 用 于 连接 内 部 子 网 ,IP 为 10.1.0.1; 
网 卡 用 于 连接 外 部 网 络 ，IP 地 址 为 211.65.63.146， 如 图 2-30 所 示 。 现 在 停止 eth0 号 


网 卡 , 并 新 建 一 块 虚 拟 网 卡 替代 eth0 的 功能 , 此 虚拟 网 卡通 过 ethl 的 物理 数据 口 进 行 通信 。 


使 用 下 


面 两 条 命令 可 停止 eth0， 并 新 建 ethl 的 虚拟 网 卡 (如 图 2-31 所 示 ，eth1:0 网 卡 与 ethl 


具有 相 
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同 的 MAC 地 址 ): 


图 2-30 ”两 块 物理 网 卡 的 信息 


图 2-31 创建 eth1:0 
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ifdown eth0 
ifconfig eth1:0 10.1.0.1 netmask 255.255.255.0 broadcast 10.1.0.255 up 


应 注意 上 面 第 二 条 命令 中 的 虚拟 网 卡 的 编号 : eth1:0，ethl 表示 用 的 是 ethl 号 网 卡 的 MAC 
地 址 ，:0 表示 该 虚拟 网 卡 的 编号 ， 第 二 块 虚拟 网 卡 是 eth1:1， 第 三 块 是 eth1:2， 以 此 类 推 。 
命令 接着 设置 了 该 虚拟 网 卡 的 属性 ， 包 括 IP 地 址 、 子 网 掩 码 、 广 播 地 址 等 ， 最 后 的 up 参 
数 表示 启动 该 虚拟 网 卡 ， 相 当 于 命令 : 


ifup ethl:0 
顺便 总 结 一 下 ， 停 止 和 启动 网 卡 各 有 两 种 命令 : 


ifup(ifdown) ethi 
ifconfig ethi up (down) 


其 中 括号 中 的 内 容 可 作 替 换 ，ethi 泛 指 网 卡号 。 

© 此 时 可 以 看 一 下 创建 eth1:0 之 后 的 路 由 表 ， 输 入 route 命令 ， 结 果 如 图 2-32 所 示 。 第 一 处 
标注 部 分 说 明 所 有 发 送 到 10.1.0.0 局 域 网 的 数据 包 通过 ethl 网 卡 接口 传输 ， 第 二 处 标注 部 
分 说 明 所 有 发 送 到 211.65.63.0 外 部 网 的 数据 包 也 通过 ethl 网 卡 接口 传输 ， 这 不 正 是 一 块 物 
理 网 卡 绑 定 了 两 个 瑟 地 址 ， 连 接 了 两 个 不 同 的 网 段 么 ? 


图 2-32 创建 eth1:0 后 的 路 由 表 
可 以 通过 ping 虚拟 网 卡 所 绑 定 的 卫 ， 测 试 虚拟 网 卡 是 否 正常 工作 (如 图 2-33 所 示 ): 


ping 10.1.0.1 


2-33 测试 eth1:0 


e 22.1 节 提 到 每 块 网 卡 在 /etc/sysconfig/network-scripts 目录 下 都 对 应 一 个 配置 文件 ， 名 字 为 
ifefg-ethn。 为 了 方便 虚拟 网 卡 的 启动 和 配置 ， 需 要 为 每 个 虚拟 网 卡 建立 一 个 ifcfg-ethn:j 的 
配置 文件 , 本 例 中 由 于 eth1:0 与 eth0 网 卡 配置 文件 的 参数 大 致 相同 , 因此 可 以 直接 复制 eth0 
到 配置 文件 ， 再 稍 作 修改 即 可 ,如 图 2-34 和 2-35 所 示 , 将 DEVICE 改 为 eth1:0, HWADDR 
改 为 ethl 的 MAC 地 址 ， 用 到 的 命令 分 列 于 下 : 


。49 。 


m Linux 服务 器 架设 与 管理 E 


cd /etc/sysconfig/network-scripts 
cp ifcfg-eth0 ifcfg-ethl:0 
Vi ifcfg-eth1:0 


图 2-35 eth1:0 配置 文件 的 参数 


的 点 评 与 拓展 : 值得 注意 的 是 ， 即 便 将 虚拟 网 卡 配置 文件 的 ONBOOT 设 为 no， 当 
ethl 号 网 卡 启动 时 ， 所 有 与 ethl 相关 的 虚拟 网 卡 也 将 启动 ;而 当 ethl 号 网 卡 停止 时 ， 与 其 
相关 的 虚拟 网 卡 也 将 被 停止 。 


2.3.2 Linux 路 由 的 架设 


成 功 创建 虚拟 网 卡 后 ， 单 网 卡 的 服务 器 在 逻辑 上 就 有 了 多 网 卡 ， 就 可 以 直接 开始 配置 
路 由 了 。 一 台 具 备 路 由 功能 的 服务 器 需要 有 以 下 几 个 条 件 : 
分 ”逻辑 上 多 网 卡 连接 不 同 的 子 网 域 ， 拥 有 不 同 的 网 域内 的 他 地 址 。 
令 “ 正 确 设 定 路 由 表 使 多 个 网 域 互联 。 
* dH ip forward 开启 Linux 系统 核心 的 路 由 功能 。 
今 “ 不 同 网 域内 的 客户 机 的 网 关 设 置 为 该 路 由 服务 器 在 该 网 域内 的 卫 。 
@ 有 了 上 节 创建 虚拟 网 卡 工作 的 铺垫 ,该 服务 器 已 经 满足 了 前 两 个 条 件 。 接着 就 是 开启 Linux 
系统 的 核心 路 由 功能 ，Linux 的 核心 程序 都 放 在 /proc 目录 下 ， 因 此 可 使 用 下 面 的 命令 开启 
核心 路 由 功能 ， 如 图 2-36 所 示 。 


echo 1 > /proc/sys/net/ipv4/ip forward 


用 more 命令 查看 ip forward 文件 ,发 现 它 只 包含 一 个 数字 ,0 或 1，1 表示 开启 路 由 功能 。 


图 2-36 FÆ Linux 核心 路 由 功能 
O 路 由 服务 器 配置 完毕 后 ， 登 录 10.1.0.0 网 域内 的 某 台 客户 机 进行 配置 。 以 10.1.0.2 为 例 ， 该 
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客户 机 的 etho 号 网 卡 用 于 连接 10.1.0.0 网 域 , 使 用 vi 命令 编辑 /etc/sysconfig/network-scripts/ 
ifcfg-ethO 文件 ， 将 GATEWAY 设 为 网 关 的 地 址 : 10.1.0.1， 即 上 小 节 所 创建 的 虚拟 网 卡 所 
绑 定 的 地 址 ， 如 图 2-37 所 示 。 使 用 下 面 命令 重启 网 络 服务 使 改动 生效 : 


/etc/init.d/network restart 


对 211.65.63.0 网 段 中 的 主机 作 同 样 的 设置 。 在 10.1.0.2 客户 机 上 ping 211.65.63.0 网 段 中 的 
主机 测试 路 由 服务 器 是 否 正常 运行 ， 使 用 下 面 命令 测试 : 


ping 211.65.63.138 


结果 如 图 2-38 所 示 ，10.1.0.2 客户 机 可 以 ping 通 211.65.63.138 客户 机 ， 说 明 路 由 服务 器 已 
经 可 以 使 不 同 网 段 的 主机 互联 了 。 


图 2-37 客户 机 网 关 的 设置 图 2-38 测试 路 由 服务 器 


的 点 评 与 拓展 : 由 于 本 章 中 所 涉及 的 配置 经 常 需要 停止 或 启动 网 卡 ， 或 者 重启 网 络 
服务 ， 这 都 将 导致 远程 连接 断 开 ， 因 此 建议 在 服务 器 前 进行 操作 ， 而 不 是 通过 远程 控制 执 
行 这 些 网 络 相关 的 命令 。 
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本 章 回顾 了 TCPAP 协议 族 ， 重 点 介绍 了 IP 地址 和 MAC 地 址 、 子 网 划分 和 子 网 掩 码 、 
网 络 层 路 由 及 TCP、UDP 协议 等 内 容 ， 对 网 际 互联 、 局 域 网 组 网 技 入 理解 的 读者 
可 以 跳 过 本 章 第 2.1 节 的 学 习 ， 而 对 网 络 基本 知识 不 甚 了 解 的 读者 本 章 第 2.1 节 的 基 
础 上 ， 建 议 再 阅读 相关 的 网 络 教 材 。 在 TCP/IP 协议 族 的 基础 上 ， 本 了 Linux 连 上 
Internet 的 两 种 方法 : 通过 局 域 网 内 的 网 关 接 入 Internet 和 利用 ADSL 直接 连接 Internet, Jf 
详细 讲述 了 这 两 种 方法 的 配置 过 程 ， 最 后 讲述 了 如 何在 单 网 卡 的 服务 器 上 架设 路 由 ， 包 括 
如 何 创建 虚拟 网 卡 以 绑 定 多 个 全 ， 如 何 进行 Linux 路 由 配置 等 实用 技术 。 


PESE 


信息 技术 的 快速 发 展 使 得 以 Internet 为 代表 的 计算 机 互联 网 络 成 为 了 现代 社会 最 重要 的 
信息 基础 设施 之 一 。 几 乎 所 有 的 公司 、 政 府 和 学 术 机 构 都 将 其 设备 和 资料 连接 上 了 Internet, 
但 同时 由 此 带 来 的 网 络 安全 问题 越 来 越 突出 ， 也 越 来 越 受 到 人 们 的 广泛 重视 。 因 此 ， 如 何 
有 效 防御 恶意 网 络 攻击 成 为 架设 Linux 服务 器 时 首先 需要 考虑 的 重要 问题 , 其 中 应 用 最 普遍 
最 成 熟 的 方法 就 是 防火 墙 技术 。 防 火 墙 技术 试图 将 一 切 针对 服务 器 的 恶意 网 络 攻击 拒 之 门 
外 ， 成 为 Linx 服务 器 有 效 抵御 恶意 网 络 攻击 的 第 一 道 坚实 屏障 。NAT(Network | Address 
Translator， 网 络 地 址 转换 ) 服 务 是 为 解决 IP 地 址 即将 耗 尽 的 危机 而 提出 的 , 连接 内 部 局 域 网 
和 外 部 互联 网 的 NAT 网 关 将 内 部 私有 IP 地 址 转换 成 外 部 公有 IP 地 址 ， 这 样 ， 多 个 局 域 网 
就 可 以 使 用 一 个 公共 IP 地 址 访问 国际 互联 网 ， 从 而 最 终 达 到 节省 IP 地 址 资源 的 目的 。 本 章 
将 详细 介绍 如 何 使 用 iptables 防火 墙 软件 来 架设 Linux 包 过 滤 防 火 墙 ， 以 及 如 何 配置 NAT 
服务 以 实现 共享 上 网 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 


* 
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3.1.1 


包 过 滤 防 火 墙 的 基本 原理 

iptables 的 基本 原理 

iptables 的 基本 配置 

如 何 使 用 iptables 架设 Linux 防火 墙 
NAT 服务 的 基本 功能 

如 何 配 置 NAT 网 关 


3.4 Linux 防火 墙 概述 


防火 墙 简介 


防火 墙 是 一 种 有 效 的 防御 工具 ， 当 通过 广域网 和 Internet 访问 内 部 的 主机 或 者 网 络 ， 以 
及 通过 内 部 的 主机 或 者 网 络 访问 外 部 系统 时 ， 防 火 墙 可 以 使 系统 免 于 受到 网 络 攻击 的 威胁 。 
Bellare 早 在 1994 年 就 列 出 了 防火 墙 的 几 大 目标 : 


* 


* 


所 有 的 通信 ， 无 论 是 从 外 部 到 内 部 还 是 从 内 部 到 外 部 的 ， 都 必须 经 过 防火 墙 。 这 
一 点 可 以 通过 阻塞 所 有 未 通过 防火 墙 的 对 于 本 地 网 络 的 访问 来 实现 。 

只 有 被 授权 的 通信 才能 通过 防火 墙 ， 这 些 授权 将 在 本 地 安全 策略 中 规定 。 不 同类 
型 的 防火 墙 实现 不 同 的 安全 策略 。 


第 3 章 Linux 防火 墙 与 NAT 服务 
今 “ 防火墙 本 身 对 于 渗透 必须 是 免疫 的 。 这 意味 着 必须 使 用 运行 安全 操作 系统 的 可 信 
系统 。 
防火 墙 通常 可 以 分 为 三 类 : 包 过 滤 防 火 墙 、 应 用 级 网 关 和 电路 级 网 关 。 应 用 级 网 关 也 
叫做 代理 服务 器 (Proxy Server). 在 应 用 级 通信 中 扮演 着 一 个 消息 传递 者 的 角色 ; 电路 级 网 关 
是 一 个 独立 系统 , 也 可 以 由 应 用 级 网 关 在 某 个 应 用 中 执行 。 由 于 Linx 系统 自 带 的 防火 墙 属 
于 包 过 滤 防 火 墙 ， 因 此 重点 介绍 包 过 滤 防 火 墙 。 
何谓 包 过 滤 防 火 墙 呢 ? 它 是 依据 一 套 规则 对 收 到 的 IP 包 进行 处 理 ， 决 定 是 转发 还 是 丢 
弃 ， 如 图 3-1 所 示 。 防 火 墙 被 设置 成 对 两 个 方向 (进入 内 部 网 络 和 从 内 部 网 络 发 出 ) 的 数据 包 
进行 过 滤 。 过 滤 的 具体 处 理 方法 根据 数据 包 所 包含 的 信息 而 定 。 
+ 源 耳 地址: 产生 IP 数 据 包 的 系统 人 PP 地 址 。 
* 目的 他 地 址 ,IP 数据 包 所 要 到 达 的 系统 的 他 地址。 
€ ” 源 和 目的 传输 层 的 地 址 ， 指 数据 包 在 源 系统 和 目的 系统 经 过 的 传输 端口 数 ， 一 些 
应 用 如 SNMP 和 TELNET 必须 在 这 里 进行 。 
分 ”四 协 议 域 ， 对 传输 协议 的 定义 。 
接口 ， 对 那些 有 两 到 三 个 端口 的 路 由 器 ， 这 部 分 信息 规定 了 哪个 是 数据 包 的 进入 
端口 ， 哪 个 是 预 留 给 数据 包 的 端口 。 


$ 
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3-1 防火 墙 的 部 署 位 置 

包 过 滤 防 火 墙 实际 上 是 根据 一 个 规则 表 , 由 规则 表 和 IP 报头 或 TCP 报头 内 容 的 匹配 情 
况 来 执行 过 滤 操 作 的 。 如 果 有 一 条 规则 和 数据 包 的 状态 匹配 ， 就 按照 这 条 规则 来 执行 过 滤 
操作 ; 如果 没 有 一 条 规则 匹配 ， 就 执行 默认 操作 。 默 认 的 策略 可 能 是 以 下 两 种 。 

分 ”默认 丢弃 | 所 有 未 明确 允许 转发 的 数据 包 都 将 被 丢弃 。 

分 ”默认 转发 ， 所 有 未 明确 规定 需要 丢弃 的 数据 包 都 将 被 转发 。 

默认 丢弃 策略 显得 比较 保守 。 起 初 ， 所 有 的 服务 都 会 被 阻塞 ， 服 务必 须 依 靠 实例 的 积 
昧 逐步 地 扩展 ， 这 时 的 防火 墙 在 用 户 看 来 就 像 是 一 个 障碍 物 。 而 默认 转发 的 策略 方便 了 
户 的 使 用 ， 但 也 相应 降低 了 安全 性 ; 网 络 管理 员 基 本 上 要 对 每 一 个 被 发 现 的 安全 威胁 立刻 
做 出 反应 。 

包 过 滤 防 火 墙 的 最 大 优点 在 于 它 的 简单 性 ， 包 过 滤 防 火 墙 对 用 户 而 言 几乎 是 透明 的 ， 
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处 理 速度 也 很 快 。 但 是 ， 包 过 滤 防 火 墙 也 有 着 不 容 忽 视 的 缺点 ， 比 如 ， 包 过 滤 防 火 墙 不 检 
查 上 层 数据 ， 对 于 那些 利用 特定 应 用 程序 的 攻击 ， 包 过 滤 防 火 墙 无 法 防范 ， 包 过 滤 防 火 墙 
容易 受到 利用 TCP/IP 规定 和 协议 栈 漏洞 的 攻击 ; 无 法 支持 高 级 用 户 认 证 方案 等 。 因 此 ， 人 
们 针对 一 些 包 过 滤 防 火 墙 经 常 遭 受 的 攻击 的 情况 总 结 出 了 相应 的 一 些 对策 ， 尽 管 这 些 对 策 
不 能 完全 防范 各 种 各 样 的 网 络 攻击 ,但 是 却 也 能 看 得 出 人 们 在 防范 网 络 攻击 上 经 验 的 积累 ; 
同时 ， 针 对 网 络 攻击 制定 相应 的 对 策 也 是 一 个 开放 的 话题 ， 简 洁 有 效 的 对 策 终 将 被 人 们 所 
采纳 。 我 们 将 目前 的 一 些 攻 击 和 对 策 列 举 如 下 。 
* IP 地 址 欺骗 : 入 侵 者 从 防火 墙 外 部 发 送 一 个 源 地 址 为 内 部 主机 的 数据 包 ， 试 图 利 
用 假 的 地 址 来 进入 那些 仅 对 源 地 址 信赖 的 系统 ， 在 这 些 系 统 里 ， 一 旦 数据 包 的 源 
地 址 为 防火 墙 内 部 的 可 信 主 机 ， 它 就 将 被 允许 通过 。 应 对 这 种 攻击 的 方法 是 ， 一 
旦 在 防火 墙 的 外 部 接口 处 发 现 源 地 址 是 内 部 地 址 的 数据 包 ， 就 将 它 丢 弃 。 
分 ” 源 路 由 攻击 :攻击 者 在 来 源 位 置 注 明 数 据 包 在 Intemet 上 传输 时 所 应 该 采用 的 路 由 ， 
由 此 希望 绕 过 存在 的 安全 措施 。 应 对 策略 是 丢弃 所 有 使 用 了 这 个 选项 的 数据 包 。 
今 “ 微 分 片 攻击 : 入 侵 者 使 用 他 分 片 选项 来 制造 出 非常 小 的 分 片 ， 分 片 如 此 之 小 ， 使 
得 TCP 头 信息 只 能 被 放 在 一 个 独立 的 分 片 中 。 攻 击 者 试图 让 包 过 滤 防 火 墙 仅仅 检 
查 第 一 个 分 片 ， 然 后 将 后 面 的 所 有 分 片 全 部 放行 。 这 种 攻击 方法 用 来 对 付 那 些 过 
滤 规 则 只 能 依赖 于 TCP 头 信息 的 防火 墙 是 很 有 效 的 。 然 而 ， 如 果 防 火 墙 将 那些 协 
WAALA TCP, IP 碎片 偏 移 为 1 的 小 分 片 都 丢弃 ， 这 种 攻击 也 就 失效 了 。 


3.1.2 iptables 简介 


iptables 的 前 身 是 ipchains, ipchains 随 Linux 2.2.x 内 核 一 起 发 布 ， 当 Linux 内 核发 展 到 
2.4.x 后 ，ipchains 逐渐 被 功能 更 胜 一 筹 的 iptables 所 替代 。 与 以 前 的 ipchains 和 ipfwadm Dj 
火 墙 相 比 ，iptables 最 大 的 优点 是 它 可 以 配置 有 状态 的 防火 墙 ， 即 iptables 能 检查 数据 包 的 
源 和 目的 了 P 地址 、 源 和 目的 端口 、 流 入 数据 包 的 顺序 号 、TCP 分 片 的 先后 顺序 以 及 头 标记 
(SYN、ACK、FIN、RST 等 ) 的 状态 ， 并 且 iptables 可 以 跟踪 整个 连接 会 话 ， 从 而 使 整个 过 
滤 过 程 相互 关联 ， 这 可 以 提高 数据 包 的 处 理 效率 和 响应 速度 。iptables 包 过 滤 防 火 墙 由 两 个 
组 件 构成 , 一 个 是 netfilter， 另 一 个 是 iptables, 下 面 对 这 两 个 组 件 的 功能 和 作用 做 简单 的 介绍 。 

(1) netfilter 组 件 

netfilter 组 件 也 叫做 内 核 空间 ， 被 集成 在 Linux 的 内 核 之 中 。netfilter 是 一 种 内 核 中 用 于 
扩展 各 种 网 络 服务 的 结构 化 底层 框架 ，netfilter 的 设计 思想 是 生成 一 个 模块 结构 使 之 能 够 比 
较 容易 的 扩展 ， 新 的 属性 添加 到 内 核 中 就 不 需要 重新 启动 内 核 。 这 样 ， 可 以 通过 简单 地 构 
造 一 个 内 核 模块 来 实现 网 络 新 特性 的 扩展 ， 给 底层 的 网 络 特性 扩展 带 来 了 极 大 的 便利 ， 使 
更 多 从 事 网 络 底层 研发 的 开发 人 员 能 够 集中 精力 实现 新 的 网 络 特性 

netfilter 组 件 主要 由 数据 包 过 滤 表 (tables) 组 成 ， 其 中 包含 了 控制 IP 包 处 理 的 规则 集 
(rules)。 根 据 规则 所 处 理 的 IP 包 的 类 型 ， 规 则 被 分 组 放 在 链 (chains) 中 ， 从 而 使 内 核对 来 自 
某 些 源 、 前 往 某 些 目的 地 或 具有 某 些 协议 类 型 的 数据 包 进 行 相应 的 处 理 ， 如 完成 数据 包 的 
处 理 、 控 制 和 过 滤 等 工作 。 
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(2) iptables 组 件 
iptables 组 件 也 叫做 用 户 空间 ， 用 户 通过 它 来 插入 、 删 除 和 修改 规则 链 中 的 规则 ， 并 将 
这 些 规则 告诉 内 核 中 的 netfilter 组 件 。 
在 使 用 iptables 之 前 ， 读 者 首先 需要 理解 规则 、 链 和 表 这 3 个 概念 ， 这 3 个 概念 贯穿 了 
iptables 配置 和 应 用 的 整个 流程 。 
今 “ 规 则 (mules): 是 网 络 管理 员 预 定义 的 条 件 ， 规 则 一 般 的 定义 为 “如 果 数 据 包 符合 这 
个 条 件 ， 就 这 样 处 理 数据 包 ”。 规 则 存储 在 内 核 空间 的 信息 包 过 滤 中 ， 这 些 规 则 分 
别 指定 源 地 址 、 目 的 地 址 、 传 输 协 议 类 型 (如 TCP. UDP 和 ICMP) 和 服务 类 型 
(HTTPs、SMTP 和 FTP)。 当 数据 包 与 所 制定 的 规则 相符 合 时 ，iptables 就 根据 规则 
所 定义 的 处 理 方法 来 处 理 这 个 数据 包 ， 如 接受 (ACCEPT)、 转 发 (FORWARD) 或 丢 
弃 (DROP) 等 。 
今 “ 链 (chains): 是 数据 包 的 传播 路 径 ， 每 一 条 链 就 是 一 系列 规则 检查 清单 ， 是 规则 的 
集合 。 当 一 个 数据 包 到 达 一 个 链 时 ，iptables 从 链 中 的 第 一 条 规则 开始 检查 该 数据 
包 是 否 符合 规则 所 定义 的 条 件 。 如 果 符 合 ，iptables 就 根据 这 条 规则 所 定义 的 方法 
处 理 该 数据 包 ; 如 果 不 符合 ，iptables 继续 检查 下 一 条 规则 。 如 果 该 数据 包 不 符合 
链 中 的 所 有 规则 ，iptables 则 根据 该 链 预 定义 的 默认 策略 来 处 理 这 个 数据 包 。 
今 “ 表 (tables): 提供 特定 的 功能 ，iptables 包含 3 张 表 : filter X, nat 表 和 mangle X, 
分 别 实现 包 过 滤 、 网 络 地 址 转换 和 包 重 构 的 功能 。filter 表 主 要 用 于 过 滤 数 据 包 ， 
该 表 根 据 预 定义 的 一 组 规则 过 滤 符 合 条 件 的 数据 包 ; nat 表 用 于 网 络 地 址 转换 ， 可 
以 实现 共享 上 网 功能 ，mangle 表 用 于 对 指定 的 包 进 行 修改 ， 因 为 某 些 特殊 应 用 可 
能 需要 改写 数据 包 的 一 些 传输 特性 ， 不 过 在 实际 中 该 表 的 使 用 率 不 高 。 


3.1.3 iptables 的 数据 传输 流程 


S 


iptables 通过 由 一 系列 规则 定义 的 链 完成 数据 包 的 传输 , 图 3-2 描述 了 iptables 的 数据 传 
输 流程 。 


流入 的 数据 包 流出 的 数据 包 


PREROUTING 链 三 一 FORWARD 链 POSTROUTING 链 


3-2 iptables 的 数据 传输 流程 


当 一 个 数据 包 穿 过 防火 墙 流 入 时 ， 它 首先 进入 iptables 的 PREROUTING 链 ， 
PREROUTING 链 根 据 该 数据 包 的 目的 TP. 地 址 判断 是 否 需要 将 此 数据 包 转 发 出 去 。 如 果 数 


。S5 。 
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据 包 的 目的 IP 地 址 就 是 本 机 ， 那 么 该 数据 包 将 沿 着 图 中 向 下 箭头 指示 的 方向 移动 ， 到 达 
INPUT 链 。 这 时 ， 主 机 上 的 所 有 进程 都 会 收 到 这 个 数据 包 ， 进 而 根据 该 数据 包头 的 其 他 信 
息 决定 由 哪个 进程 来 对 数据 包 进 行 处 理 。 如 果 数 据 包 的 目的 TP 地 址 不 是 本 机 TP， 那么 防火 
墙 就 要 将 该 数据 包 转 发 出 去 。 数 据 包 沿 着 图 中 向 右 箭头 指示 的 方向 移动 ， 经 过 FORWARD 
链 ， 到 达 POSTROUTING 链 流 出 。 当 本 机 进程 需要 发 送 数据 包 时 ， 这 些 数据 包 就 经 过 
OUTPUT 链 ， 再 经 由 POSTROUTING 链 输出 。 
数据 包 进 入 图 中 每 一 个 链 时 ，iptables 都 会 从 链 中 第 一 条 规则 开始 对 照 来 处 理 数 据 包 。 
数据 包头 的 信息 如 果 与 链 中 某 条 规则 所 规定 的 条 件 完全 匹配 ， 就 对 该 数据 包 执行 该 规则 所 
定义 的 操作 ; 数据 包头 的 信息 如 果 与 链 中 的 所 有 规则 都 不 匹配 ， 则 将 根据 该 链 的 默认 策略 
来 决定 如 何 处 理 。 一 般 的 默认 策略 是 丢弃 该 数据 包 。 

链 的 规则 及 默认 策略 是 由 网 络 管理 员 在 配置 防火 墙 时 指定 , 因此 , 配置 Linux 包 过 滤 防 
火 墙 就 是 依照 iptables 的 数据 传输 流程 图 为 流程 中 的 每 条 链 添加 规则 的 过 程 。 


3.2 iptables 的 基本 配置 


应 用 实例 导航 一 一 iptables 过 滤 表 的 配置 


KAREM 


为 A 公司 配置 Linux 防火 墙 ， 通过 对 iptables 的 filter 表 的 配置 实现 默认 策略 的 制定 ， 
实现 对 TCP, UDP 数据 包 根 据 各 种 条 件 ( 如 源 、 目 标 他 地 址 ， 源 、 目 标 端 口号 等 ) 进 行 过 滤 
的 功能 ， 并 对 某 些 类 型 的 ICMP 数据 包 进 行 控制 。 


※ 技 术 要 领 


(1) 制定 Linux 防火 墙 的 默认 策略 。 
(2) 利用 filter 表 过 滤 TCP, UDP 报 文 。 
(3) 控制 ICMP 报 文 。 


从 概述 部 分 知道 ， 目 前 的 Linux 防火 墙 都 通过 iptables 组 件 来 实现 ， 因 此 架设 Linux 防 
火 墙 是 通过 配置 iptables 组 件 来 实现 的 。 本 节 介 绍 如 何 利用 iptables 中 的 Filter 表 实 现 Linux 
防火 墙 默认 策略 的 制定 、TCP/UDP 数据 包 的 过 滤 以 及 ICMP 报 文 的 控制 等 ， 最 后 讲述 如 何 
启动 和 关闭 Linux 防火 墙 。 


3.2.1 iptables 策略 的 配置 


iptables 内 置 了 3 张 表 : Filter 4. NAT 表 和 Mangle 表 ， 分 别 实现 包 过 滤 、 网 络 地 址 转 
换 和 包 重 构 的 功能 。 
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Q iptables 的 3 张 表 都 包含 了 多 条 链 ， 每 条 链 又 包含 了 多 条 规则 ， 规 则 是 Linux 防火 墙 的 最 小 
元 素 。 那 么 如 何 查看 iptables 表 的 规则 呢 ? 可 以 使 用 下 面 的 shell 命令 格式 : 


iptables [-t 表 名 ] «-L» [-nv] 


参数 说 明 如 下 。 


$% 


* 
* 
* 


- 定义 查看 哪个 表 的 规则 列表 ， 后 面 跟 的 表 名 可 以 是 fülter. nat 和 mangle， 如 果 此 处 
不 指定 表 名 ， 则 iptables 默认 查看 Filter 表 。 

-L: 列 出 目前 表 或 链 的 规则 。 

a 不 进行 瑟 地 址 与 主机 名 的 反 查 ， 加 快 响应 速度 。 

v: 列 出 更 多 的 信息 ， 包 括 通过 该 规则 的 他 包 的 总 位 数 ， 及 相关 的 网 卡 接口 。 


图 3-3 列 出 了 NAT 表 所 有 链 的 规则 ,图 中 的 Chain PREROUTING, Chain POSTROUTING、 
Chain OUTPUT 分 别 表示 了 NAT 表 中 的 三 根 链 ， 在 3.5 节 中 将 详细 介绍 。policy ACCEPT 
表明 当前 NAT 表 所 有 链 的 默认 策略 都 是 ACCEPT. 


nat -L -n 
EPT) 


destination 


destination 


图 3-3 查看 iptables 的 NAT 表 规 则 


Q 接着 再 查看 一 下 Filer 表 的 链 及 其 规则 , 如 图 3-4 所 示 , 可 以 看 到 Filter 表 共有 三 条 链 :INPUT、 
FORWARD 和 OUTPUT. 其 中 INPUT 链 中 有 3 条 规则 , 第 1 条 规则 说 明 Linux 防火 墙 接受 
TCP 端口 从 5901 到 5905 的 IP 数据 包 , 第 2 条 规则 说 明 Linux 防火 墙 接 受 TCP 端口 为 5901 
的 了 P 数 据 包 ,而 第 3 条 规则 说 明 Linux 防火 墙 拒绝 了 TCP 端口 为 5901 的 IP 数据 包 。 在 这 
种 互相 矛盾 的 情况 下 ，Linux 防火 墙 采取 的 策略 是 优先 满足 最 新 添加 的 规则 ， 即 命令 行 靠近 
最 上 面 的 规则 (这 里 就 是 前 述 第 1 条 规则 )。 如 图 3-4 中 所 示 命 令 ，Linux 防火 墙 将 接受 TCP 
端口 为 5901 的 所 有 IP 数据 包 。 


© 在 3.11 节 “防火 墙 简介 ”中 六 
。 策 略 对 于 Linux 防火 墙 来 说 非常 重要 ， 它 规定 了 防火 墙 对 于 那些 IP 数据 包 的 头 信息 


destination 


destination 


图 3-4 查看 iptables 的 Filter 表 规 则 


什么 是 防火 墙 的 默认 策略 ， 有 默认 丢弃 和 默认 转发 两 种 
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不 在 用 户 设 定 的 规则 之 内 时 ， 如 何 处 置 该 P 数据 包 的 动作 ， 即 规定 了 防火 墙 对 所 有 TP 数据 

包 的 默认 动作 。 如 果 需 要 更 改 iptables 的 策略 ， 则 利用 下 面 的 命令 格式 完成 : 

iptables [-t 表 名 ] -P[INPUT,OUTPUT,FORWARD] [ACCEPT, DROP] 

参数 说 明 如 下 。 

v P: 说 明 该 命令 是 定义 策略 的 ， 后 面 跟 表 里 面 的 链 名 。 值 得 注意 的 是 ， 这 个 为 大 写 ， 
Linux 系统 的 命令 行 是 区 分 大 小 写 的 。 

* ACCEPT: 所 有 未 明确 规定 需要 丢弃 的 数据 包 都 将 被 转发 。 

* DROP: 所 有 未 明确 允许 转发 的 数据 包 都 将 被 丢弃 。 

图 3-5 中 ,将 Filter 表 INPUT 链 的 默认 策略 改 成 了 DROP; 其 他 两 条 链 FORWARD 和 


destination 


hain 0 


destination 


图 3-5 更 改 iptables 的 策略 


外 点 评 与 拓展 : 不 失 一 般 性 ， INPUT 链 是 用 于 规定 接受 外 部 主机 JP 数据 包 的 处 理 方 
式 的 ， 所 以 一 般 将 其 策略 定 为 DROP， 这 属于 严格 的 策略 。 而 FORWARD 和 OUTPUT 两 条 
链 是 用 于 处 理 内 部 子 网 的 IP 数据 包 的 ， 由 于 网 关 对 内 部 子 网 的 IP 数据 包 比 较 信 任 ， 所 以 将 
其 策略 定 为 ACCEPT 相对 比较 宽松 些 。 


3.22 添加 TCP/UDP 数据 包 的 规则 


在 2.1 5 “TCP/IP 协议 族 概述 ”中 介绍 过 ，TCP 和 UDP 都 是 封装 了 网 络 层 的 IP 包 ， 
它们 在 实现 方面 的 主要 区 别 在 于 TCP 和 UDP 所 采用 的 传输 协议 不 同 ，TCP 和 UDP 都 默认 
地 指定 了 一 部 分 端口 ， 这 些 端口 是 不 可 更 改 的 ， 另 外 一 些 未 指定 的 端口 既 可 以 用 作 TCP 端 
口 ， 又 可 以 用 作 UDP 端口 ， 因 此 ， 当 打开 或 关闭 端口 时 ， 通 常 需要 指明 是 TCP 还 是 UDP 的 
端口 。 


Q 图 3-6 演 示 了 开放 端口 号 为 22 的 TCP 端口 的 命令 及 运行 结果 。 命 令 格式 为 : 


iptables [-AI 链 名 ] [-io 网 卡号 ] [-p 协议 类 型 ] [-s UR IP 网 域 ] [-d 目的 IP 网 域 ] -j 
[ACCEPT | DROP] 
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图 3-6 开放 TCP 22 号 的 端口 


参数 说 明 如 下 。 

令 “--AI 链 名 : 针对 某 些 链 进 行规 则 的 插入 或 累加 。 

+ -A 新 增加 一 条 规则 ， 且 该 规则 被 加 在 已 有 规则 列表 的 最 后 面 。 需 要 注意 的 是 ， 这 个 
参数 不 使 用 规则 编号 。 

信 -I: 插入 一 条 新 规则 。 如 果 没 有 指定 此 规则 的 顺序 ， 它 就 被 默认 成 为 第 一 条 规则 。 这 
个 参数 比较 重要 ， 由 于 Linux 防火 墙 优先 执行 前 面 的 规则 ， 因 此 指定 规则 顺序 很 必要 。 
比如 ， 假 设 已 有 四 条 规则 ， 其 编号 依次 为 1 一 4， 利 用 -I 参 数 插 入 一 条 新 规则 后 ， 则 这 
条 新 规则 的 编号 被 编 为 1, 原来 的 四 条 规则 则 按 原来 顺序 其 编号 依次 增 1, 结果 变 为 2 一 5。 


+ -io 规定 网 卡 编号 ，i 指定 输入 网 卡号 ，o 指定 输出 网 卡号 。 当 服务 器 只 有 一 块 网 卡 
时 ， 可 以 不 指定 这 个 参数 。 

令 ”|i 为 外 数 据 包 从 其 进入 的 网 卡 编号 , 多 是 指 由 外 部 下 地 址 主机 所 发 的 包 其 经 过 的 网 卡号 ; 

+ -0 为 IP 数 据 包 从 其 出 去 的 网 卡 编号 ， 一 般 是 内 部 子 网 所 发 的 包 其 经 过 的 网 卡号 。 

令 “-p: 规定 他 数据 包 的 协议 格式 ， 可 以 是 ttp、udp、icmp 和 all 

So -s 源 公 网 域 , 规定 人 P 数 据 包 的 来 源 地 址 ， 可 以 指定 是 单独 的 IP 地 址 ， 当 然 也 可 以 


是 网 域名 ， 二 者 皆 可 
 -d 目的 IP 网 域 , 规定 人 Pp 数据 包 的 目的 地 址 ， 可 以 指定 是 单独 的 IP 地 址 ， 也 可 以 是 
Wt. —d3 3. 
9 yg 选择 怎样 处 理 数据 包 ， 如 接受 或 丢弃 等 。 
图 3-7 演示 了 iptables 规则 的 几 种 设 定 方法 , 图 中 的 第 一 条 命令 表示 只 要 是 网 卡号 为 eth0 的 
IP 数据 包 全 部 都 接受 条 命令 表示 只 要 是 IP 地 址 为 172.18.12.225 发 出 的 数据 包 全 部 都 
接受 ; 第 三 条 命令 表示 源 IP 地 址 为 子 网 192.168.1.10 的 数据 包 全 部 丢弃 ， 为 网 域 
192.168.1.0/24 的 数据 包 全 部 接受 。 图 3-8 中 的 标示 部 分 ， 显 示 了 上 述 命令 的 结果 全 都 写 入 
了 ipfliter 表 的 INPUT 链 中 。 


-j ACCEPT 


.1.10 -j DROP 
.1.0/24 -j ACCEPT 


图 3-7 iptables 规则 的 几 种 设 定 方法 
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图 3-8 设 定 后 的 结果 


3.2.3 添加 ICMP 数据 包 的 规则 


息 传 递 ， 其 类 型 相当 多 。ICMP 协议 是 
Bi RT ELT d E 传递 到 目的 地 址 主机 。 这 
被 用 于 发 起 DoS 攻击 。Linux 防火 墙 则 可 


ICMP 协议 用 于 网 络 链 路 的 连通 性 检测 和 故障 
个 无 连接 协议 ， 只 要 封装 好 ICMP 报 文 并 发 
使 得 非常 易于 伪造 ICMP 报 文 , 因而 ICMP 协 
以 对 各 种 类 型 的 ICMP 数据 包 进 行 灵 活 的 控制 。 
Q 图 3-9 演 示 了 关闭 类 型 8 的 ICM 包 的 命令 及 运行 结果 。 其 命令 格式 如 下 : 


Iptables -A INPUT -p icmp --icmp -type 类 型 -j [ACCEPT | DROP] 


-A INPUT -p icmp --icmp- 


3-9 关闭 类 型 8 的 ICMP & 


© 类 型 8 的 ICMP 用 于 响应 远方 主机 ， 一 旦 被 关闭 后 ， 将 不 响应 远方 主机 的 询问 。 读 者 可 以 
用 ping 命令 测试 类 型 8 的 ICMP 关闭 前 后 的 应 答 情况 


3.24 Linux 防火 墙 的 开启 与 关闭 


安装 好 Linux 系统 后 ,防火 墙 默认 开启 , 这 时 防火 墙 经 常会 跟 用 户 的 设置 起 冲突 ，, 因此 
用 户 在 学 习 iptables 之 前 ， 可 以 先 关闭 防火 墙 ， 这 葛 其 他 的 配置 与 测试 。 
执行 Setup 命令 启动 图 形 化 工具 菜单 ， AIR MEE 
O 选择 【选择 一 种 工具 〗|【 防 火 墙 配置 】〗 菜 单 命令 进入 防火 墙 设置 界面 ， 如 图 3-11 所 示 。 单 
击 空格 键 选择 【启用 】 或 【禁用 】 命 令 来 启用 或 禁用 防火 墙 ， 按 Tab 键 切 换 界面 中 的 选项 . 
© 当 防 火 墙 处 于 启用 状态 时 ， 选 择 【 防 火 墙 配 置 1| 【定制 〗 菜 单 命令 可 进入 防火 墙 定制 界面 ， 
如 图 3-12 所 示 。 第 一 bed dodi bh 通常 选择 连接 内 部 局 域 网 的 网 卡号 ， 这 样 来 自 
内 部 局 域 网 的 他 数据 包 都 能 接受 ; 第 二 行 选择 需要 IP 伪装 的 网 卡号 ， 即 将 在 3.4 节 中 讲述 
的 NAT 技术 ; ee 相当 于 添加 一 条 防火 墙 规则 ; 最 后 一 行 ， 开 放 
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其 他 端口 ， 比 如 有 时 Web 服务 器 端口 采用 9080 gp, WWW 服务 默认 端口 是 80 端口 ， 因 此 
需要 在 这 里 额外 开放 9080 端口 。 


3-10 图 形 化 工具 菜单 图 3-11 防火 墙 启动 菜单 


3-312 防火墙 定 制 菜单 


的 点评 与 拓展 : 值得 注意 的 是 TCP/UDP 和 ICMP 的 区 别 ， 添 加 TCP/UDP 相关 规则 
时 需要 指定 端口 号 ， 而 添加 ICMP 规则 时 需要 指定 类 型 。 


3.3 架设 Linux 防火 墙 


应 用 实例 导航 一 一 架设 实用 Linux 防火 墙 


KREM 


A 公司 内 的 所 有 主机 都 是 通过 一 个 网 关连 上 Intemet， 访 问 外 部 资源 。 内 部 主机 都 通过 
高 速 LAN 形成 内 部 子 网 ， 网 络 拓扑 如 图 3-13 所 示 。 出 于 网 络 安全 性 考虑 , 现在 该 公司 计划 
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在 网 关上 架设 一 道 防火 墙 ， 对 从 Internet 流入 公司 内 部 局 域 网 的 IP 数据 包 加 以 严格 控制 ; 
而 对 公司 局 域 网 内 部 的 主机 则 比较 信任 , 因此 只 要 对 内 部 主机 流出 的 他 数据 包 稍 加 控制 即 可 。 

防火 墙 的 基本 要 求 及 假设 条 件 如 下 。 

(1) 网 关上 配置 两 块 网 卡 : 外 部 连接 Internet 的 网 卡号 为 eth1,， 内 部 连接 高 速 LAN 的 网 
卡号 为 eth0。 

Q) 网 关 需 要 开放 www. SSH. SMTP 等 服务 。 

要 求 作为 网 络 管理 员 的 您 写 出 该 Linux 防火 墙 的 配置 脚本 , 并 且 要 求 这 个 脚本 稍 做 修改 
就 可 以 用 于 其 他 网 络 拓扑 的 情形 ， 即 具有 普 适 性 ;最 后 要 求 详细 描述 该 Linux 防火 墙 的 工 
作 流程 。 


3-43 某 公 司 的 网 络 拓扑 图 


KAREM 


(D 网 卡 的 基本 配置 脚本 。 

Q) 对 外 默认 策略 、 开 启 服务 规则 的 指定 。 

G) 对 内 策略 、 链 规则 的 指定 。 

(4) Linux 简单 shell 脚本 的 书写 和 执行 ， 并 需要 有 一 定 的 普 适 性 。 


下 面 将 详细 讲述 如 何 架设 这 个 Linux Dij Joi. 通常 ， 当 配置 一 些 复杂 软件 的 时 候 , 网 络 
管理 员 都 不 希望 通过 一 行 一 行 地 输入 shell 命令 来 完成 。 因 为 ， 这 样 不 仅 效率 比较 低 ， 而 且 
一 旦 中 间 发 生 错 误 ， 就 不 得 不 需要 又 从 头 开始 一 条 一 条 地 重新 输入 ， 所 以 ， 人 们 一 般 采 月 
shell 脚本 的 方式 来 完成 这 种 配置 。 下 面 分 三 块 来 分 别 介绍 这 个 配置 脚本 的 内 容 ， 这 三 块 前 
配置 内 容 分 别 是 : 防火 墙 网 络 的 基本 配置 、 连 接 Intemet 外 网 的 配置 和 连接 高 速 LAN 子 网 
的 配置 。 

如 图 3-14 所 示 ， 首先 使 用 vi 命令 建立 脚本 文件 rules. #d/bin/bash 是 shell 脚本 文件 的 首 行 ， 

它 规定 了 该 文件 是 一 个 脚本 文件 。 在 网 络 的 基本 配置 方面 定义 了 三 个 变量 : EXTIF, 定义 
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了 连接 外 部 Internet 的 网 卡号 ; INIF， 定 义 了 连接 内 部 局 域 网 的 网 卡号 ， 如 果 这 合 服务 器 只 


有 一 块 网 卡 ， 那 么 INIF=“ ”; INNET， 定 义 了 内 部 局 域 网 的 子 网 号 ， 若 不 存在 子 网 ， 则 
INNET 


vi rules 


2 k. if none "" 
IF INIF INNET 


图 3-14 脚本 的 基本 网 络 配置 部 分 


如 图 3-15 和 图 3-16 所 示 < 了 连接 Internet 外 网 的 配置 一 共 分 为 5 个 部 分 ( 见 图 中 脚本 
# 1 一 #S 的 注释 标号 )。 第 1 部 分 ， 设 定 了 核心 的 网 络 功能 ， 这 一 部 分 基本 不 需要 改动 就 能 
适用 于 其 他 情形 ; 第 2 部 分 ， 清 除了 iptables 已 有 的 规则 ， 并 定义 默认 策略 ， 以 及 设 定 与 网 
卡 有 关 的 选项 ; 第 3 部 分 , 启动 额外 的 防火 墙 script 模 组 , 也 不 需 改动 就 能 适用 于 其 他 情形 ; 
第 4 部 分 ,设置 ICMP 相关 的 参数 ,脚本 文件 将 允许 进入 的 ICMP 包 类 型 赋 给 了 参数 AICMP， 
可 以 根据 实际 需求 添加 ICMP 类 型 ， 然 后 利用 循环 语句 逐一 开通 ; 第 5 部 分 ， 开通 允许 进 
入 的 TCP/UDP 服务 ， 为 了 满足 防火 墙 假设 条 件 的 要 求 ， 这 里 开通 了 SSH. SMTP, DNS, 

WWW, POP3 和 HTTPS 等 服务 ， 该 部 分 可 以 根据 实际 需求 添加 相关 脚本 语句 。 


e RELATED -j ACCEPT 


图 3-15 ”连接 Internet 外 网 的 配置 部 分 (#1 一 #2) 
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图 3-16 ”连接 Internet 外 网 的 配置 部 分 (#3 一 #5) 


Be 内 部 局 域 网 的 配置 ， 分 成 4 个 部 分 完成 ( 见 图 中 脚本 # 1 一 #4 
的 注释 标号 )。 第 1 部 分 ， 载 入 了 一 些 必需 的 模 组 ， 如 ip tables. iptable nat $; 第 2 部 分 ， 
清除 了 NAT 表 的 所 有 规则 ,并 指定 了 NAT 表 包含 的 三 条 链 (PREROUTING、POSTROUTING 
和 OUTPUT) 的 默认 策略 ; 第 3 部 分 ， 是 配置 NAT 主机， 将 在 3.5 节 “ 配 置 NAT DX" 
详细 讲述 , 这 里 暂时 不 作 解 释 ; 注释 部 分 Two Line MTU 下 面 的 两 行 命令 是 可 选 命令 ， 如 果 
取消 了 注释 标记 符 “#”， 就 启动 了 MTU 限制 范围 ; 第 4 部分， 也 是 可 选 命令 ， 用 来 设 定 
内 部 服务 器 监视 进程 。 


四 


3-17 ”连接 内 部 局 域 网 的 配置 部 分 
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O 以 上 三 步 就 完成 了 Linux 防火 墙 主要 脚本 的 书写 ， 大 部 分 语句 都 具有 通用 性 ， 应 用 场景 变 
换 后 无 需 更 改 。 值 得 注意 的 是 ， 第 一 步 基本 网 络 配置 部 分 中 的 三 个 参数 (EXTIF、INIF 和 
INNET) 要 根据 实际 网 络 状况 来 设 定 ， 且 务必 正确 。 

O 另外 , 还 需要 设 定 一 些 允许 进入 或 必须 防御 的 TP 地 址 或 网 域 ， 这 要 通过 另外 两 个 脚本 deny 
和 allow 来 完成 。 如 图 3-18 所 示 ， 显 示 了 deny 脚本 内 容 ， 仿 照 图 中 所 示 语句 的 命令 格式 可 
以 在 下 面 添加 需要 防御 的 不 信任 主机 地 址 或 网 域 。 类 似 地 ， 如 图 3-19 所 示 ， 显 示 了 allow 
脚本 内 容 ， 在 图 中 所 示 命令 格式 下 面 也 可 以 任意 添加 信任 的 允许 进入 的 TP 地 址 或 网 域 。 


grid3 iptable 


A INPUT -i $EXTIF -s 1.0/24 -j ACCEPT 


图 3-18 编辑 deny 脚本 


-À INPUT -i $EXTIF -3 172.18.21.138 -j DROOPI 


图 3-19 编辑 allow 脚本 


Q 在 所 有 的 shell 脚本 都 配置 好 之 后 ， 可 以 使 用 sh 命令 来 执行 脚本 文件 ， 但 需要 注意 的 是 ， 在 
执行 命令 前 需要 将 文件 权限 改 为 可 执行 ， 这 使 用 chmod 命令 来 完成 。 如 图 3-20 所 示 ， 演 示 
了 shell 脚本 文件 修改 文件 权限 以 及 运行 脚本 文件 的 命令 格式 ， 两 种 命令 格式 具体 分 列 
T 
chmod 700 [脚本 文件 名 ] 
sh [脚本 文件 名 ] 


3 iptables]# sh rules 


图 3-20 ”执行 脚本 

Q 最 后 总 结 所 设计 的 防火 墙 的 处 理 流 程 ， 如 图 3-21 所 示 。 首 先 ， 根 据 网 络 实际 情况 设置 网 络 
基本 参数 ， 即 EXTIF、INIF 和 INNET， 然 后 再 定义 核心 网 络 功能 。 接 着 就 是 设 定 iptables 
的 一 系列 默认 策略 及 规则 ， 启 动 防御 模 组 ， 设 置 允 许 进 入 的 ICMP 类 型 和 服务 类 型 。 所 有 
配置 工作 做 好 后 ， 流 入 的 数据 包 按照 一 定 顺 序 与 这 些 规 则 、 策 略 进行 比较 ， 如 果 完 全 匹配 
则 允许 进入 内 部 局 域 网 ; 如 果 没 有 一 条 规则 能 够 完全 匹配 则 丢弃 。 


四 点 评 与 拓展 : 在 学 习 完 iptables 基本 的 策略 配置 、 规 则 配置 后 ， 又 架设 了 一 个 简易 
的 Linux 防火 墙 ， 并 且 配 置 脚本 具有 普 适 性 ， 稍 做 修改 就 能 适用 于 其 他 拓扑 结构 的 网 络 。 
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设 定 基本 网 络 参数 


核心 网 络 功能 设 定 


设 定 防火 墙 默认 策略 


设 定 的 deny 规 则 


设 定 的 allow 规 则 


f 
许 
进 
入 
局 
域 
网 


其 他 防御 模 组 


允许 进入 的 ICMP 的 
类 型 


3-21 防火墙 处 理 流程 


3.4 NAT 服务 概述 


目前 ，32 位 的 IP 地 址 资源 正 逐 渐 耗 尽 ， 因 此 许多 组 织 机 构 都 采用 1 个 外 部 公有 IP 地 
址 带动 一 个 局 域 网 的 方法 ， 局 域 网 内 部 使 用 私有 他 。 这 时 就 需要 使 用 NAT(Network Address 
Translator， 网 络 地 址 转换 ) 来 实现 内 部 私有 下 与 外 部 公有 IP 之 间 的 转换 。 

私有 地 址 (Private Address) 属 于 非 注册 地 址 , 使 用 私有 地 址 的 主机 无 法 直接 连 到 Internet, 
只 能 连接 内 部 局 域 网 (第 2 章 详细 介绍 了 私有 地 址 的 划分 以 及 子 网 掩 码 的 概念 )， 本章 将 讨论 
重点 放 在 私有 地 址 如 何 转化 成 外 部 地 址 去 访问 Internet. NAT 就 是 将 一 个 地 址 域 映射 到 另 一 
个 地 址 域 的 标准 方法 , 它 能 够 将 内 部 局 域 网 所 有 主机 的 了 P 地 址 转换 成 一 个 外 部 也 地址 ， 从 
而 允许 私有 地 址 主机 以 一 个 外 部 公有 IP 地 址 访问 Internet. 
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NAT 服务 通常 部 署 在 网 关上 ， 网 关 是 一 台 装 配 有 两 块 网 卡 的 服务 器 ， 一 块 网 卡 使 用 外 
部 IP 地 址 连接 到 Intemet， 另 一 块 网 卡 使 用 内 部 IP 地 址 连接 内 部 局 域 网 。 当 内 外 部 网 络 之 
间 进 行 数据 传送 时 ， 网 关 就 通过 查询 NAT 映射 表 获 得 相对 应 的 TP 地 址 。 如 果 这 个 NAT 映 
射 表 是 网 络 管理 员 手 工 建立 的 ， 就 称 为 静态 网 络 地 址 转换 ， 如 果 这 个 NAT 映射 表 是 网 关 自 
动 建立 的 ， 对 网 络 管理 员 和 用 户 是 透明 的 ， 则 称 为 动态 网 络 地 址 转换 。 两 种 NAT 地 址 转换 
方式 的 基本 原理 如 图 3-22 所 示 。 


"TUTENE [7377] 
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192.168.8.11 
3-22 NAT 地 址 转换 原理 图 


这 里 以 动态 网 络 地 址 转换 为 例 介绍 NAT 服务 的 工作 流程 ， 静 态 网 络 地 址 转换 与 其 不 同 
之 处 在 于 NAT 映射 表 是 由 网 络 管理 员 预 先 建 好 的 。 具 体 工作 流程 如 下 。 
Q 当 内 部 主机 (地 址 为 192.168.8.10) 需 要 建立 一 条 到 Internet 的 会 话 连接 时 , 首先 将 请 求 发 送 至 
NAT 网 关上 ，NAT 网 关 收 到 这 条 请 求 后， 根据 接收 到 的 请 求 数据 包 检查 NAT 映射 表 。 
O 如 果 还 没有 为 该 内 部 主机 建立 地 址 转换 映射 项 ，NAT 网 关 会 决定 对 该 地 址 进行 转换 ， 建 立 
XXX.XXX.XXX.2 4 一 ”192.168.8.10 这 个 映射 项 ， 记 录 会 话 状态 ; 如 果 已 经 存在 该 映射 项 ， 则 
NAT 服务 器 使 用 该 映射 项 进行 地 址 转换 , 并 记录 会 话 状态 . 然后 NAT 网 关 使 用 转换 后 的 地 
址 发 送 数据 包 至 Internet AAE. 
Q Intemet 公 网 上 的 某 台 主机 收 到 信息 后 ， 进 行 应 答 ， 并 将 应 答 信息 返回 给 NAT 网 关 。 
O s NAT 网 关 收 到 应 答 信息 后 ， 先 检查 NAT 映射 表 ， 如 果 NAT 映射 表 存 在 匹配 项 ， 则 使 有 
FLA IP 地 址 替换 IP 数据 包 的 目的 IP 地 址 ， 并 将 数据 包 转 发 给 内 部 主机 。 如 果 不 存在 匹配 
的 映射 项 ， 则 将 数据 包 丢弃 。 
第 4 步 中 ， 从 Intemet 发 回 的 数据 包 如 果 没 有 找到 匹配 项 ， 就 将 数据 包 丢弃 ， 这 意味 着 
只 要 内 部 主机 不 主动 与 Internet 主机 进行 通信 ，Intemet 主机 将 无 法 访问 到 内 部 主机 。 利 
这 一 原理 ，NAT 也 被 用 到 防火 墙 技 术 中 ， 它 可 以 将 个 别 IP 地 址 隐藏 起 来 不 被 外 部 发 现 ， 使 
外 部 无 法 直接 访问 内 部 网 络 设备 。 
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3.5 配置 NAT 网 关 


应 用 实例 导航 一 一 利用 NAT 表 配 置 NAT 网 关 


EE LESE 


需要 为 A 公司 的 一 个 网 关 配 置 NAT 主机 ， 该 公司 的 网 络 拓扑 结构 如 图 3-13 所 示 。 假 
设 网 关 的 内 部 IP 地 址 为 192.168.1.1, A 公司 局 域 网 的 内 部 主机 IP 可 以 在 192.168.1.2— 
192.168.1.254 之 间 的 IP 地 址 段 内 任意 选择 ; 而 网 关 的 外 部 IP 地 址 为 211.65.63.146。 现 在 要 
求 A 公司 局 域 网 内 的 任 一 内 部 主机 能 够 通过 NAT 转换 ， 以 网 关 的 外 部 IP 地 址 连接 上 
Internet。 另 外 ， 假 设 该 公司 的 对 外 主页 放 在 内 部 IP 地 址 为 192.168.1.199 的 Web 服务 器 上 ， 
并 且 Web 端口 使 用 的 是 8080， 要 求 合理 配置 NAT 网 关 ， 使 得 Intemet 上 的 外 部 主机 能 够 使 
用 Internet Explorer 浏览 器 默认 的 80 端口 成 功 访问 这 台 具 有 内 部 IP 的 Web 服务 器 。 


(1) 配置 NAT 表 的 POSTROUTING 链 。 
(2) 配置 NAT 表 的 PREROUTING 链 。 
(3) 配置 局 域 网 内 的 主机 。 


3.5.1 NAT 网 关 的 基本 配置 


NAT 主机 起 到 外 部 IP 地 址 和 内 部 IP 地 址 的 转换 功能 ，NAT 服务 一 般 运 行 在 局 域 网 的 
网 关上 。 了 解 了 NAT 服务 的 功能 后 , 本 节 主 要 论述 NAT 主机 是 如 何 配 置 的 , 分 为 两 块 内 容 : 
NAT 网 关 主 机 的 配置 和 局 域 网 内 PC 机 的 配置 。 基 本 的 步骤 如 下 。 

@ NAT 网 关 主机 的 配置 通过 iptables 的 NAT 表 的 POSTROUTING 链 的 配置 来 完成 。3.3 节 没 
有 详细 论述 rules 脚本 文件 关于 NAT 配置 部 分 的 内 容 ， 这 里 将 详细 地 进行 论述 。 如 图 3-23 
标记 部 分 所 示 ， 这 三 条 语句 是 配置 POSTROUTING 链 的 关键 语句 : 第 一 条 语句 让 NAT 网 
关 人 允许 接受 所 有 来 自 内 部 局 域 网 的 IP 数据 包 ， 即 完全 信任 内 部 局 域 网 的 主机 ; 第 二 条 语句 
让 网 关 具 有 转发 IP 数据 包 的 能 力 ， 即 具有 路 由 功能 ; 第 三 条 语句 是 对 内 部 亿 包 进行 NAT 
地 址 转换 ， 其 中 的 参数 MASQUERADE 说 明 将 接收 到 内 部 IP 的 数据 包 封装 成 ethl 这 块 网 
卡 上 的 对 外 也 发 送出 去 。 三 条 命令 的 格式 分 别 为 : 


iptables -A INPUT -i [内 部 网 卡号 ] -j ACCEPT 


echo "1"»/proc/sys/net/ipv4/ip forward 
iptables -t nat -A POSTROUTING -s [私有 IP] -o [外 部 网 卡号 ] -j MASQUERADE 
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-j HASQUERADE 


图 3-23 配置 POSTROUTING ff 


© 配置 好 POSTROUTING 链 后 ， 内 部 主机 就 能 够 顺利 访问 Internet 了 ， 但 是 如 何 使 Internet 
上 的 主机 能 够 顺利 访问 局 域 网 内 的 Web 服务 器 呢 ? 这 时 需要 通过 配置 NAT 表 的 另 一 根 链 
PREROUTING 来 完成 ， 图 3-24 演示 了 PREROUTING 链 的 配置 命令 。 


Iptables-t nat -A PREROUTING -p tcp -I ethl --dport 80 -j DNAT --to 
192.168.1.199:80 

iptables -t nat -A PREROUTING -p tcp -I ethl --dport 80 -j REDIRECT --to-ports 
8080 


第 一 条 命令 说 明 所 有 从 网 卡号 ethl 上 传 来 的 访问 S0 端口 的 TCP 包 ， 都 发 送 到 内 部 主机 IP 
为 192.168.1.199 的 80 端口 上 ,实际 上 , 这 里 将 命令 中 目标 的 80 端口 改 成 8080 就 达到 了 预 
定 的 要 求 ; 但 是 为 了 说 清楚 问题 ， 特 地 使 用 了 重 定向 命令 ， 即 第 二 条 命令 ， 它 的 意思 是 ， 
号 ethl 上 传 来 的 访问 80 端口 的 TCP 包 ， 都 重 定向 到 内 部 局 域 网 的 8080 端口 。 
是 ,命令 中 有 的 参数 前 是 一 条 横 杠 “-”， 有 的 参数 前 是 两 条 横 杠 “--”， 
读者 有 必要 仔细 区 分 ， 否 则 Linux 系 股 无 此 命令 的 错误 


3 ~]# iptsble 
3] 


3 ~]# iptables 
3-4] 


ps] 


3-24 配置 PREROUTING 链 


© 最 后 只 要 在 局 域 网 的 主机 上 进行 简单 网 络 配置 就 可 以 完成 NAT 网 关 的 配置 了 , 根据 场景 要 
求 ， 将 NETWORK( 即 局 域 网 IP 段 ) 设 为 192.168.1.0, NETMASK( E} F W) H 45) it H 
255.255.255.0，BROADCAST( 即 广播 地 址 ) 设 为 192.168.1.255，IP 可 以 在 192.168.1.2 一 192. 
168.1.254 范围 内 任意 选取 ; GATEWAY( 即 网 关 地 址 ) 设 为 NAT 主机 的 IP: 192.168.1.2; DNS 
需要 根据 公司 的 ISP 来 设 定 , 这 些 基 本 的 设 定 方法 在 第 2 章 的 Linux 网 络 基 本 配置 中 曾经 详 
细 讲 述 过 ， 在 此 不 再 赣 述 。 


的 点 评 与 拓展 : Web 服务 器 通常 默认 配置 为 8080 端口 ， 但 是 ，Windows FH IE R 
认 的 端口 是 80， 为 了 避免 用 户 在 输入 网 址 后 还 要 加 上 端口 号 的 麻烦 ， 服 务 器 就 使 用 iptables 
45-j REDIRECT 功能 进行 端口 转换 。 
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3.5.2 NAT 网 关 的 一 组 技巧 性 配置 


应 用 实例 导航 一 一 NAT 网 关 的 辅助 配置 


※ 场 景 呈现 


假设 A 公司 在 完成 NAT 主机 和 包 过 滤 防 火 墙 的 配置 后 , 还 需要 控制 公司 内 部 员工 的 上 
网 行为 ， 以 提高 公司 员工 的 工作 效率 。 具 体 限制 要 求 包括 ， 禁 止 内 部 员工 访问 不 健康 网 站 、 
禁止 内 部 员工 开启 QQ 工具 聊天 、 强 制 内 部 员工 访问 被 指定 的 公司 主页 。 要 求 网 络 管理 员 
通过 添加 NAT 网 关上 的 防火 墙 的 规则 达到 以 上 三 个 要 求 。 


SCR SES 


(D 禁止 内 部 主机 访问 指定 TP. 

Q) 强制 内 部 主机 访问 指定 IP. 

本 节 一 步 一 步 地 介绍 一 组 技巧 性 配置 来 实现 A 公司 的 这 三 个 特定 需求 ， 希 望 读者 能 够 
在 这 三 个 实例 的 基础 上 举一反三 ， 通 过 组 合 这 些 简 单 规则 实现 更 复杂 的 对 内 部 局 域 网 的 控 
制 行为 。 

首先 讲述 如 何 禁 止 内 部 主机 访问 不 健康 网 站 。 通 过 禁止 域名 或 IP. 地 址 的 办 法 来 实现 控 
制 。 如 果 是 禁止 域名 ，iptables 会 先 查询 DNS 服务 器 中 该 域名 对 应 的 所 有 IP 地 址 ， 再 将 它 
们 加 入 到 禁止 规则 中 ， 因 此 ， 采 用 禁止 域名 的 方式 速度 会 稍微 慢 些 。 图 3-25 演示 了 两 条 命 
令 的 执行 情况 ， 即 将 所 有 访问 禁止 网 站 的 数据 包 都 丢弃 。 


图 3-25 用 命令 禁止 具体 的 域名 或 IP 


其 次 ， 讲 述 如 何 封锁 QQ。 为 了 防止 公司 员工 使 用 QQ 聊天 ， 耽 误工 作 时 间 ， 封 锁 QQ 
是 NAT 网 关 经 常 要 面 对 的 问题 。 打 开 Windows 系统 下 QQ 安装 目录 \QQ 号 \ 目 录 下 的 
Config.db 文件 ， 如 图 3-26 所 示 ， 这 个 文件 大 部 分 是 乱码 ， 但 是 QQ 服务 器 地 址 可 以 显示 ， 
如 图 中 标记 部 分 。 只 要 将 这 些 服务 器 全 部 封禁 ， 就 可 以 达到 封锁 QQ 的 目的 。 图 3-27 演示 
了 封禁 其 中 三 个 服务 器 的 命令 ， 读 者 可 以 依 此 类 推出 封禁 其 他 服务 器 的 命令 。 

某 些 公司 机 构 有 时 需要 强制 员工 访问 指定 的 网 页 ， 比 如 让 员工 一 打开 下 浏览 器 就 显示 
公司 主页 等 。 这 时 只 要 将 内 部 局 域 网 所 有 访问 Web 服务 器 的 请 求 都 重 定向 到 指定 主页 即 可 ， 
需要 注意 的 是 命令 中 只 能 使 用 网 页 的 IP 地 址 。 图 3-28 显示 了 该 命令 的 执行 。 
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P Config. db - 记事 本 
文件 四 SEO 格式 Q) SEV E500 


DE Dk 


[ENSE DECEM [ré] a 
b8.251.60.37:80008N ^ 58.60.14.47:808088 — 58.60.15.49:800088 — sz.tencent.con:8800NE 
bz2.tencent.con:80888N ^ sz3.tencent.com:88088. ^ szi.tencent.con:8000NE 
bz5.tencent.con:80088N ^ szó.tencent.com:88008N — sz7.tencent.con:S000NN 
bz8.tencent.con:80808N ^ sz9.tencent.com:80008-N P | j&2]/ imf Qnid mm 
b8.68.15.51:44388Ü — 58.251.62.17:543988 — 219.133.49.7:44388 219.133 .48. 10444300 
D19.133.48.104:808N ^ tcpconn.tencent.con:808N — tcpconn2.tencent.com:80NN 
cpconn3 .tencent .con: 8088 tcpconnh.tencent.con:8088 tcpconn5 .tencent.con:8088 
;cpconnó.tencent.con:80NR 健一 Mft LE WW htt 
EE A W4 ^ nttp://http.tencent.com: MAI 


wif, d sig 


DAR 


NIC QNI EL 
in We Moe 
Aa 


58.251.62.16: riae 


D 


a^ 


222.282. 36. 171:8080088 


j DROP 
| -j DROP 


3-27 封锁 QQ 服务 器 


ugrid3 


iseugrid: 


图 3-28 执行 脚本 ( 重 定向 到 指定 的 主页 ) 


的 点 评 与 拓展 : 注意 ， 本 节 的 规则 都 使 用 了 -I 命令 ， 因 为 -I 命令 是 在 第 1 条 规则 前 
插入 ， 没 有 履 盖 后 面 加 入 的 规则 ， 而 这 些 控制 客户 端 上 网 的 规则 都 是 同时 需要 满足 的 ， 因 
此 不 能 使 用 -A 命令 。 


3.6 本 章 小 结 


本 章 介 绍 了 Linux 服务 器 的 包 过 滤 防 火 墙 ， 它 利用 iptables 内 设 的 3 张 表 来 实现 包 过 滤 
功能 。 在 对 iptables 中 的 规则 、 链 和 表 等 概念 进行 了 解 的 基础 上 ， 首 先 介绍 了 iptables 基于 
链 的 数据 包 处 理 流程 ， 揭 示 了 防火 墙 实现 的 本 质 。 接 着 ， 介 绍 了 如 何 添加 iptables 链 中 的 规 
则 、 如 何 添加 TCP/UDP 及 ICMP 相关 协议 的 规则 ; 然后， 通过 一 个 架设 防火 墙 的 实例 讲述 
了 如 何 进 行 防 火 墙 网 络 配置 、 内 部 局 域 网 配置 和 外 部 网 络 配置 的 问题 ， 并 给 出 了 一 个 通用 
的 脚本 ， 稍 做 修改 就 能 适用 于 其 他 拓扑 的 网 络 环境 。 

在 熟悉 了 iptables 的 基础 上 , 又 介绍 了 如 何 利用 iptables 来 配置 NAT 网 关 及 一 些 相关 的 
技巧 。 配 置 NAT 网 关 是 目前 很 多 机 构 必 不 可 少 的 技术 ， 具 有 很 强 的 实用 性 。 


这 
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一 台 连 上 Internet 的 服务 器 ,首先 要 解决 的 问题 就 是 如 何 让 网 络 管理 员 远 程 登录 该 服务 
器 ， 并 且 进 行 远程 控制 。 所 谓 远程 控制 ， 是 指 由 一 台 计 算 机 去 控制 另 一 台 计 算 机 ， 并 可 以 
管理 远程 服务 器 上 的 软 、 硬 件 资源 ， 就 如 同 网 络 管理 员 坐 在 服务 器 前 操作 一 样 的 技术 。 目 
前 ， 大 部 分 公司 和 机 构 或 者 将 服务 器 放置 于 ISP 托管 的 机 房 内 ， 或 者 将 本 公司 和 机 构 的 服 
务 器 统一 放置 在 一 间 机 房 内 。 这 些 现实 情况 都 要 求 借 助 远 程控 制 的 方式 对 这 些 地 理 位 置 上 
非常 分 散 的 服务 器 进行 统一 管理 。 

在 早期 的 UNIX/Linux 服务 器 上 , 几乎 都 提供 Telnet 这 个 远程 联机 服务 器 软件 。 不过， 
Telnet 是 以 明码 形式 来 传输 数据 的 ， 安 全 性 得 不 到 很 好 的 保障 。 于 是 ， 基 于 著名 加 密 算法 
RSA 的 网 络 传输 协议 族 SSH 应 运 而 生 ， 它 很 好 地 保证 了 数据 在 传输 过 程 中 不 被 轻易 破坏 、 
泄露 和 算 改 ， 并 且 有 效 地 防止 了 桥接 攻击 。 但 是 ，SSH 纯 文 字 接口 登录 主机 进行 操控 的 方 
式 并 不 能 满足 操控 图 形 化 软件 的 需求 , 因此 还 需要 有 VNC 这 样 的 服务 来 实现 图 形 接口 的 登录 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 

* Telnet 服务 的 安装 和 启动 
RSA 公 钥 加 密 体系 架构 的 原理 
SSH Server 的 启动 和 配置 
Windows 平台 上 SSH 方式 的 登录 和 操控 
VNC Server 的 启动 和 配置 
Windows 平台 上 通过 VNC Viewer 的 图 形 接口 登录 
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4.4 Telnet 服务 


4.1.1 Telnet 概述 


经 常 使 用 CTerm 软件 登录 BBS 的 读者 肯定 会 很 熟悉 Telnet, CTerm 软件 就 是 利用 Telnet 
协议 进行 远程 登录 的 ，Telnet 是 目前 Internet. 上 应 用 最 广泛 的 协议 之 一 ， 使 得 用 户 可 以 方便 
地 使 用 远程 主机 上 的 软 硬 件 资源 。Telnet 也 是 最 早 被 使 用 的 远程 控制 协议 ， 它 为 早期 的 网 络 
管理 提供 了 便利 性 ， 几 乎 各 种 操作 系统 都 内 置 了 Telnet 协议 的 客户 端 软 件 ， 可 以 说 ，Telnet 
是 远程 控制 方面 的 先驱 协议 。 

尽管 由 于 Telnet 在 安全 性 上 暴露 出 越 来 越 多 的 问题 而 逐渐 退出 历史 的 舞台 ， 但 是 我 们 
仍然 需要 了 解 这 个 先驱 协议 的 安装 、 配 置 和 使 用 。 
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4.1.2 Telnet 服务 器 端的 安装 和 配置 


Telnet 分 为 服务 器 端 软件 和 客户 端 软件 ， 本 节 讲 述 Telnet 服务 器 端 软件 的 安装 、 配 置 和 
启动 。 
Q Fedora 6 系统 默认 安装 了 Telnet 的 客户 端 软件 ， 但 是 没有 安装 Telnet 服务 器 端 软 件 ， 因 此 
需要 配置 Telnet 服务 器 。 需 要 首先 安装 Telnet 服务 器 端 软件 ， 将 Fedora 安装 包 上 的 Telnet 
服务 器 端 软件 的 rpm 包 复 制 到 服务 器 上 ，rpm 名 称 为 telnet-server-0.17-37.1386.rpm， 直 接 使 
用 下 面 命令 安装 ， 如 图 4-1 所 示 。 


rpm -ivh telnet-server-0.17-37.i386.rpm 


图 4-1 安装 Telnet 服务 
提示 安装 成 功 后 ， 可 以 使 用 下 面 命令 查看 Telnet 软件 的 安装 情况 ， 如 图 4-2 所 示 。 
rpm -qa | grep telnet 
可 以 看 到 ， 该 服务 器 上 已 经 安装 了 Telnet 服务 器 端 和 客户 端的 软件 。 


ocal]# rpm -qa 


图 4-2 查看 Telnet 服务 的 安装 情况 


(2) Telnet 服务 并 不 启动 独立 的 守护 进程 , 而 是 交 由 xinetd 管理 , xinetd (extended internet services 
daemon ) 是 系统 的 超级 守护 进程 ， 它 提供 了 访问 控制 、 重 定向 、 日 志 记 录 、 优 先 级 和 连接 数 
等 安全 和 管理 机 制 ， 因 此 xinetd 托管 了 Telnet 的 所 有 用 户 请 求 
由 于 Telnet X H xinetd 管理 ， 它 的 配置 文件 也 放 到 了 /etc/xinetd.d 目录 下 ， 名 字 为 telnet， 这 
个 配置 文件 规定 了 是 否 开放 Telnet 服务 、 开 放 的 权限 以 及 最 大 连接 数 等 属性 ， 它 通过 在 
xinetd 中 定义 Telnet 服务 结构 体 来 规定 。 打 开 /etc/xinetd.d/telnet 文件 ， 如 图 4-3 所 示 ， 需 要 
对 该 文件 进行 两 处 修改 。 第 一 处 ,将 默认 的 “distable=yes” 改 为 “distable=no”， 表 示 开 放 
Telnet 服务 ; 第 二 处 ,添加 “instances=5”， 表 示 同 时 允许 5 个 客户 端 连 接 该 Telnet 服务 器 ， 
如 图 4-4 标注 部 分 所 示 。 


图 4-3 ”打开 /etc/xinetd.d/telnet 文件 
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failure 


4-4 letc/xinetd.d/telnet 文件 的 配置 
e 由 于 Telnet X H xinetd 来 管理 ， 因 此 只 要 使 用 下 面 命令 重启 xinetd 服务 来 启动 Telnet 守护 
进程 ， 如 图 4-5 所 示 。 


/ect/init.d/xinetd restart 


图 4-5 重启 xinetd 服务 
使 用 下 面 命令 可 以 观察 Telnet 服务 是 否 正常 启动 ， 如 图 4-6 HEAR. 


netstat -tulp | grep telnet 


图 4-6 观察 Telnet 服务 


4.1.3 Telnet 客户 端的 连接 


Telnet 的 服务 器 端 配置 完毕 后 ， 本 节 分 别 讲 述 Linux 和 Windows 两 种 系统 下 Telnet 客 
户 端的 连接 。 
o 一 般 不 使 用 root 用 户 连 接 Telnet 服务 器 ， 为 此 可 以 新 建 test 用 户 以 登录 Telnet 服务 器 。 如 

果 是 在 本 机 登录 ， 输 入 下 面 命令 后 ，shell 提示 输入 登录 用 户 及 密码 ， 验 证 通过 后 ， 就 以 test 

用 户 登 录 了 本 地 服务 器 ， 进 入 test 用 户 的 根 目 录 /home/test， 如 图 4-7 所 示 。 


telnet localhost 
© 在 远程 主机 可 以 
【开始 】 一 【运行 】 
行 。 输 入 下 面 命令 尝 


Telnet 协议 登录 服务 器 ， 下 面 介 绍 Windows 系统 下 的 登录 过 程 。 选 择 
令 ， 弹 出 如 图 4-8 所 示 的 【运行 】〗 对 话 框 ， 输 入 cmd 进入 DOS 命令 
登录 远程 服务 器 ， 如 图 4-9 所 示 。 


telnet 172.18.12.178 
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lh. 


main 


177 请 键入 程序 、 文 件 来 、 文 档 或 Internet 资源 的 名 
Af» Windows 将 为 您 打开 它 。 


打开 @) v 


图 4-9 3*3 Telnet 服务 器 


连接 上 服务 器 后 ， 提 示 输 入 登录 用 户 及 密码 ， 验 
器 ， 进 入 test 用 户 的 根 目 录 /home/test， 如 图 4-10 所 示 。 


， 就 以 test 用 户 登 录 了 远程 服务 


鸣 点 评 与 拓展 :由 于 Telet 交 由 xinetd 服务 管理 ， 因 此 ， 安 装 Telnet 前 需要 确保 
xinetd 已 经 安装 ， 而 且 Telnet 的 启动 方式 与 其 他 系统 服务 略 有 不 同 。 
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** Telnet 172.18 


[Fedora Core rele 


Kernel 2 


login: 


-6.18-1.2798.fc6xen on an 


Thu Nov 


6 «Zod5 
i686 


8 


Itest8seugrid2 ^1$ ls 


[Itest8seugrid2 


71$ 


图 4-10 3A Test 用 户 的 根 目 录 


4.2 SSH 服 务 


4.2.1 SSH 的 概述 和 原理 
传统 的 网 络 服务 程序 ， 妇 


据 ， 极 易 被 截取 和 
安全 验证 方式 也 是 有 其 弱点 
冒充 真正 的 服务 器 接收 你 传 给 
服务 器 ， 服 务 器 和 客户 端 之 间 

在 传统 网 络 服务 程序 的 安 
生 。 作 为 取代 ftp. rsh, Telnet 
DNS 欺骗 和 源 路 径 攻击 。SSH 
根据 所 用 SSH 版 本 的 不 同 ， 互 
可 以 选择 使 用 各 种 不 局 
法 ， 这 些 方 法 都 很 简单 、 
输 的 速度 。 

SSH 所 提供 
密 钥 。 通 过 严格 


HEH 


的 数据 传送 


提供 


安全 。 


的 是 通过 网 络 进入 某 个 特定 账号 的 


ftp. rsh, Telnet 及 rcp 等 ， 由 
1 攻击 ， 所 以 这 些 网 络 服务 在 本 质 上 是 不 安全 的 。 而 且 ， 这 些 服 务 程序 的 
的 ， 


就 是 很 容易 受到 桥接 攻击 。 谓 


服务 器 的 数据 ， 然 后 再 冒充 你 
会 出 现 很 严重 的 占 
全 性 得 不 到 保障 的 情况 下 ，SSH(secure shell protocol) ti 
及 rcp 等 的 网 络 连接 协议 徐 ,， SSH 可 以 有 效 防 1 
:的 主要 方法 就 是 使 用 公共 
以 采用 RSA 或 者 Diffie-Hellman 和 数字 签名 标准 来 
的 身份 认证 方法 ， 包 括 公共 密 钥 法 、 


25H P E HA 


55h SSH 还 将 对 传输 的 数 


安全 方法 。 


密 钥 检查 ， 用 户 可 以 核对 来 自 服务 器 和 


rhosts/shosts iA ii 


13:32:07 from 172.18.12.225 


-它们 是 用 明文 传送 口令 和 数 
f 谓 桥接 攻击 ， 就 是 “中 间 人 ?” 
巴 做 了 手脚 的 数据 传 给 真正 的 
题 。 


: IP 地 址 欺骗 、 
密 钥 加 密 法 。 
实现 。 也 
法 和 密码 认证 
WEST HA, DOW SE p 


每 个 用 户 都 折 
的 公共 密 钥 同 
的 主机 。 

也 址 ， 所 以 它 使 网 络 更 加 安全 


有 自己 的 RSA 
先前 所 定义 的 是 


过 到 你 系统 上 的 访问 者 身份 ， 


否 一 致 。 这 样 就 防止 了 某 个 用 户 访 问 一 个 他 没有 相应 公共 密 铁 
由 于 SSH 提供 了 主机 身份 认证 , 利用 公共 密 钥 而 不 是 亿 
Hi, 并 且 不 容易 受到 人 P 地址 欺骗 的 攻击 。 这 有 助 于 辨认 连 
从 而 防止 非法 访问 者 登录 到 你 的 系统 中 。 表 4-1 列 出 了 SSH 所 能 保护 的 网 络 攻 击 。 
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表 4-1 SSH 保护 的 网 络 攻击 方式 


网 络 攻击 方式 描 述 
£u 包 的 源 地 址 IP 不 是 你 的 ， 但 被 伪装 成 了 你 的 他 
了 /主机 欺骗 下 或 主机 名 被 攻击 者 次 用 
数据 泄露 攻击 者 获得 了 所 传输 的 数据 的 明文 
数据 侦 听 攻击 者 截取 你 所 传输 的 数据 ， 并 分 析 其 内 容 


那么 ，SSH 是 如 何 保证 传输 数据 的 安全 性 及 客户 端的 真实 性 的 呢 ? 为 了 解析 其 中 的 原 
因 ， 首 先 需要 简单 介绍 公 钥 加 密 体制 。 该 体制 依赖 于 一 个 加 密 密 钥 和 一 个 与 之 相关 的 不 同 
刚 解密 密 钥 ， 并 且 仅 根据 密码 算法 和 加 密 密 钥 来 确定 解密 密 钥 在 计算 上 是 不 可 行 的 ， 其 主 


要 步骤 如 下 。 
每 一 个 用 户 产 生 一 对 密 钥 ， 用 来 加 密 和 解密 信息 。 


每 一 个 用 户 将 其 中 一 个 密 钥 存 于 公开 的 寄存 器 或 其 他 可 访问 的 文件 中 ， 该 密 钥 即 所 谓 


公 钥 ， 另 一 个 密 钥 是 私有 的 ， 其 他 用 户 不 可 获得 它 。 
若 Bob 要 发 消息 给 Alice， 则 Bob 用 Alice 的 公 钥 对 消息 加 密 。 


Alice 收 到 消息 后 ， 用 其 私 钥 对 消息 解密 。 由 于 只 有 Alice 知道 其 自身 的 私 铀 ， 所 以 其 


他 接收 者 都 不 能 解密 出 消息 。 公 钥 加 密 体系 的 加 密 过 程 如 图 4-11 所 示 。 


wenn | D B 
Aliceff A | Saee 
加 密 后 的 数据 
Bob 发 消息 给 Alice 
Alice 的 私 钥 
传输 的 消息 
Alice 接 收 到 Bob 发 末 的 消息 


4-11” 公 和 钥 加 密 体系 的 加 密 过 程 
若 Bob 要 发 给 Alice 一 段 认 证 消息 , 即 让 Alice 确信 消息 为 Bob 所 发 ， 
私 钥 对 消息 加 密 。 


则 Bob 用 自身 的 


Alice 收 到 消息 后 ， 用 Bob 的 公 钥 对 消息 解密 。 由 于 Alice 可 以 确定 其 他 人 不 知道 Bob 


的 私 钥 ， 从 而 确定 消息 确 为 Bob 所 发 ， 如 图 4-12 所 示 。 


的 是 RSA 非 对 称 算法 , 它 是 由 MIT 的 Ron Rivest, Adi Shamir 和 Len Adle 


公 钥 加 密 体制 具有 密 钥 分 配 与 管理 简单 、 加 密 传输 和 数字 签名 等 功能 。 目 前 ， 最 流行 


man 于 1977 年 提 


出 并 于 1978 年 首次 发 表 。RSA 算法 的 安全 性 依赖 于 大 素数 难以 分 解 ， 即 将 两 个 大 素数 相 乘 
十 分 容易 ， 但 是 想 分 解 它们 的 乘积 却 极 端 复杂 ， 因 此 可 以 将 乘积 公开 作为 加 密 密 钥 ， 从 一 


个 密 钥 和 密 文 推断 出 明文 的 难度 等 同 于 分 解 两 个 大 素数 的 积 。 由 于 计算 机 分 解 大 数 还 没有 
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有 效 的 实现 方法 ， 因 此 当 公 钥 的 长 度 大 于 某 个 长 度 时 ， 计 算 机 无 法 在 较 短 有 效 时 间 里 推导 
HMH. RSA 算法 自 其 诞生 之 日 起 ， 就 成 为 被 广泛 接受 且 被 实现 的 通用 公 钥 加 密 方法 。 


mensas - DEN LL. 


INQ 
Bob 的 私 钥 Suc. 
TUTTI 
Bob 发 认证 消息 给 Alice 
Bob 的 公 钥 
传输 的 消息 
pes 
Alice 确 信 是 Bob 发 来 的 消息 


图 4-12 公 钥 加 密 体系 的 认证 过 程 


SSH 包括 客户 端 和 服务 器 程序 。 服 务 器 程序 是 一 个 守护 进程 ， 它 在 后 台 运 行 且 无 需 任 
何 类 型 的 常规 管理 ， 并 响应 来 自 客户 端的 连接 请 求 。 服 务 器 端 包含 一 个 文件 ， 即 sshd 程序 ， 
它 通常 被 放 在 目录 /ect/init.d 下 。 服 务 器 端 提 供 了 对 远程 连接 的 处 理 ， 包 括 公共 密 钥 认 证 、 
密 角 交换、 对称 密 钥 加 密 和 非 安全 连接 本 身 。 对 SSH2 来 讲 ， 是 用 sftp-server 来 管理 安全 文 
件 传输 的 连接 ， 其 客户 端 包 括 几 个 不 同 的 文件 。 这 些 文件 包括 ssh、 远 程 复制 (scp) 和 远程 登 
录 (slogin)。SSH2 有 一 个 安全 文件 传输 客户 端 (sftp), 它 使 用 安全 文件 传输 来 替代 文件 传输 协 
议 (File Transfer Protocol，FTP)。 因 为 FTP 不 安全 ， 所 以 SSH 使 用 自己 的 客户 端 替 代 它 。 

接 下 来 对 目前 流行 的 SSH protocol version 2 工作 步骤 进行 描述 。 

每 次 SSH daemon (sshd) 启动 时 , 就 会 产生 一 支 768b 的 公 钥 ( 即 server key) 存 放 在 服务 
器 中 。 

若 接收 到 客户 端的 ssh 通信 需求 时 ， 那 么 服务 器 就 会 将 这 一 支 公 钥 传 给 client， 此 时 
client 也 会 比 对 一 下 这 支 公 钥 的 正确 性 。 比 对 的 方法 为 利用 /etc/ssh/ssh_ known hosts 或 ~ 
/.ssh/known_hosts 档案 内 容 。 

在 客户 接受 这 个 768b 的 server key 之 后 , 客户 自己 也 会 随机 产生 一 支 256b 的 私 钥 (host 
key)， 并 且 以 加 密 的 方式 将 server key 与 host key 整合 成 一 对 完整 的 Key pair， 并 且 将 这 对 
Key pair 也 传送 给 服务 器 。 

在 以 后 的 服务 器 与 客户 端的 通信 中 ， 就 以 这 一 对 1024b 的 Key pair 来 进行 数据 的 传递 ; 
并 且 在 每 次 通信 开始 时 ， 服 务 器 端 利用 Diffie-Hellman 机 制 确定 客户 端的 真实 性 。 

以 前 SSH protocol version 1 在 通信 过 程 中 ， 当 服务 器 端 接受 客户 端的 private key 后 ， 
就 不 再 针对 该 次 通信 的 Key pair 进行 检验 。 此 时 车 有 恶意 的 cracker 针对 该 通信 给 予 恶意 
的 程序 代码 ， 由 于 主机 端 不 会 检验 通信 的 正确 性 ， 因 此 可 能 会 接受 该 程序 代码 ， 造 成 系统 
被 黑 等 问题 。 为 了 弥补 这 个 漏洞 ，SSH verion 2 多 加 了 一 个 确认 通信 正确 性 的 
Diffie-Hellman 机 制 , 在 每 次 数据 的 传输 当中 服务 器 端 都 会 以 该 机 制 检查 资料 的 来 源 是 否 正 
确 , 所 以 可 以 避免 通信 过 程 当中 被 插入 恶意 程序 代码 的 问题 , 进一步 加 强 了 SSH 的 安全 性 。 
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4.2.2 SSH 服务 的 启动 


在 Fedora 6.0 版 本 的 Linux 的 系统 中 , 已 经 包含 了 SSH 所 需要 的 OpenSSL 与 OpenSSH 
套件 ， 因 此 就 省 略 了 安装 SSH 的 过 程 ， 而 直接 可 以 启动 SSH 的 守护 进程 shd。 启 动 sshd 
进程 有 两 种 方式 : 第 一 种 是 通过 shell 命令 启动 sshd 进程 ， 第 二 种 是 通过 Linux. 自 带 的 系统 
配置 图 形 化 工具 启动 sshd 进程 。 
首先 讲述 第 一 种 启动 方式 ， 即 通过 shell 命令 的 方式 启动 ， 输 入 下 面 命令 启动 或 重启 动 
SSH 服务 ， 如 图 4-13 所 示 。 


/ect/init.d/sshd start 
/ect/init.d/sshd restart 


TOOt?^ Seugrid:— em eR 


文件 EE) SERE) EEV) SRO HEB) HHH) 
[rootüseugrid3 ~]# /etc/init.d/sshd start 


启动 sshd : [确定 ] 
[root@seugrid3 ~]# /etc/init.d/sshd restart 

停止 sshd : [确定 ] 
启动 sshd : [确定 ] 


[rootüseugrid3 ~]# /etc/ini t .d/sshd 
用 法 : /etc/init.d/sshd (start |stop|restart |rel oad |condrestart | status) 
[rootüseugrid3 ~]# 


4-13 启动 SSH 服务 


Linux 系统 服务 的 入 口 程序 大 都 存放 在 /ect/init.d 目录 下 , 然后 通过 以 下 命令 格式 执行 启 
动 、 重 启动 、 关 闭 、 显 示 状态 等 操作 。 


/etc/init.d/(service) (start|stoplrestart|reload|condrestart|status] 


接着 讲述 第 二 种 启动 方式 ， 即 通过 配置 图 形 化 工具 菜单 启动 。 输 入 shell 命令 : setup, 
弹出 如 图 4-14 所 示 界 面 ， 这 就 是 Linux 提供 的 系统 配置 图 形 化 工具 ， 它 方便 了 初级 用 户 进 
行 显示 器 配置 、 网 络 配置 、 系 统 服务 和 防火 墙 配置 等 操作 。 选 择 【系统 服务 】 选 项 ， 进 入 
图 4-15 所 示 的 界面 , 该 对 话 框 中 列 出 系统 提供 的 所 有 系统 服务 , 包括 sshd、vsftp 、vncserver 
等 重要 服务 ， 只 要 选择 sshd 选项 ， 打 上 星 号 *， 单 击 【 确 定 】 按 钮 就 启动 了 sshd 进程 。 

无 论 使 用 以 上 哪 种 方式 启动 SSH 后 ,都 可 以 通过 以 下 命令 查看 SSH 的 状态 , 如 图 4-16 
所 示 ，ssh daemon 在 23030 号 端口 处 于 正常 监听 状态 。 


netstat -tlp | grep ssh 


四 点 评 与 拓展 : Linux 系统 中 的 所 有 服务 的 启动 方式 都 类 似 于 SSH 的 启动 方式 , shell 
方式 的 启动 命令 都 类 似 于 SSH 第 一 种 启动 方式 中 所 介绍 的 。 
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图 4-15 启动 SSH 服务 


4-16 查看 SSH 状态 


4.2.3 SSH Secure Shell Client 软件 简介 


在 Linux 服务 器 上 启动 好 SSH daemon 进程 后 ， 就 可 以 在 Windows 下 方便 地 对 服务 器 
进行 远程 控制 了 。 我 们 推荐 使 用 免费 软件 SSH Secure Shell Client， 该 软件 提供 了 快捷 方便 
的 SSH 远程 连接 和 可 靠 的 FTP 文件 传输 。 

@ (k Windows (X 3 step by step 安装 好 SSH Secure Shell Client 后 ， 打 开 软 件 ， 单 击 Quick 

Connect 按钮 ， 弹 出 如 图 4-17 的 界面 


图 4-17 登录 界面 
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© 输入 需要 连接 的 服务 器 的 卫 地址 以 及 用 户 名 ，Port 和 Authentication 项 默认 ; 单 击 Connect 
按钮 ， 根 据 提 示 正 确 输 入 密码 。 如 果 用 户 是 第 一 次 登录 ，SSH Secure Shell Client 会 弹出 询 
问 是 否 保存 公 钥 文件 的 窗口 ， 选 择 确定 就 进入 如 图 4-18 所 示 的 shell 命令 提示 行 。 


| Be ER Mew Wndow Hb — 
Crer mcca229ew 


|| EI Quick Connect. E Profies 


SSH Secure Shell 3.2.9 (Build 283) 
Copyright (c) 2000-2003 SSH Communications Security Corp - http://wwu.ssh.com/ 


This copy of SSH Secure Shell is a non-commercial version. 
This version does not include PKI and PKCS $11 functionality. 


Last login: Sun Sep, 2 13:49:56 2007 from 172.18.12.140 
[root&seugrid3 -]s ll 


[Connected to 172.18.12.179 


448 登录 成 功 的 命令 行 


© Hik Edit- Settings 菜单 命令 进入 如 图 4-19 所 示 的 软件 设置 界面 , 可 以 根据 个 人 喜好 选择 不 
同 的 背景 字体 等 ; 图 4-19 中 标注 部 分 的 Serollback buffer 文本 框 表示 了 shell 命令 行 的 最 大 


行 数 ， 通 常 将 其 设 高 一 


3312.18.12 
|| Be Edt w 
jW &m 
| E Quck Co 


Copyright (e 


This copy of 
This version 


Last login: 
[roorBseugrid 


些 ， 以 避免 shell 命令 行 的 显示 信息 丢失 。 


= Connection 


Cipher list Catieee un epperanen of the elicit 
Jathaticatioa pulus um 


I Office IP 1o 


" trora atog anen seing vurew 


LI on right mowe click 


= War duthenti catio: 
Kays 


indes capti 


Certificates [V Display profile n 
IV Display host nur 


E Server Anathenticat Yindor layout 
Hart Kaye 
CA Certificates 


A 4-19 设置 界面 


QD SSH Secure Shell Client 还 提供 了 可 靠 的 FTP 传输 工具 , 方便 了 Windows 客户 端 和 Linux 服 
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务 器 端的 数据 交互 ， 选 择 Window 一 New File Transfer 菜单 命令 弹出 如 图 4-20 所 示 的 界面 ， 
左 半边 窗口 为 Windows XP 的 文件 系统 ， 右 半边 为 Linux 文件 系统 ， 从 中 可 以 方便 地 实现 双 
方 的 数据 交互 。 


4-20 ”传输 文件 界面 


4.3 配置 SSH 无 密码 登录 


应 用 实例 导航 一 一 高 性 能 计算 中 心 的 SSH 无 密码 登录 配置 


※ 场 景 呈现 


假设 有 某 一 高 性 能 计算 中 心 ， 网 络 拓扑 结构 如 图 4-21 所 示 ， 高 速 局 域 网 IP 地 址 段 为 
172.18.12.0—172.18.12255, 局 域 网 内 部 署 了 多 台 计 算 结 点 , 其 中 一 台 计 算 结 点 的 他 地 址 为 
172.18.12.179; 主 控 结 点 的 以 太 网 IP 地 址 为 211.65.63.109， 并 以 此 IP 地 址 接 入 Internet 公 
网 ; 主 控 结 点 的 局 域 网 IP 地 址 为 172.18.12.178， 以 此 IP 地 址 管理 其 他 从 属 计算 结 点 。 现 在 
要 求 配置 IP 地 址 为 172.18.12.178 的 主 控 结 点 ， 实 现 以 root 用 户 无 密码 SSH 登录 所 有 从 属 
计算 结 点 ， 要 求 以 登录 IP 地 址 为 172.18.12.179 的 从 属 结 点 为 例 进 行 配置 。 

XGRRSER 

(1) 详细 设 定 sshd 配置 文件 。 

Q) 产生 主 控 结 点 公私 钥 对 ， 并 存放 入 相应 的 目录 。 

G) 在 从 属 结 点 根据 sshd 配置 文件 ， 将 主 控 结 点 公 钥 存放 入 从 属 结 点 的 配置 文件 中 。 
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SSH 是 通过 密 钥 比 对 
动 生 成 了 密 钥 对 。 
后 客 / idu 登录 服 和 


那么 AT 自然 


图 4-21 服务 器 拓 
验证 用 户 身 份 的 ， 
想到 如 果 预 先 ) 


数据 来 


节录 包 全 如 下 


扑 结构 图 

用 户 远 服务 器 输入 密码 时 ， 就 自 

答 客 户 端 所 产生 的 密 钥 复 制 到 服务 器 ， 以 

\ 认 该 客 户 端 已 经 通过 了 身份 验证 ， 而 不 必 重 新 输 
3 个 步骤 


pores XL É 己 的 人 SØM 钥 ， 所 使 用 到 的 命令 为 PES 

将 私 钥 放 在 客户 端的 登录 用 户 的 根 目录 的 .ssh 目录 $HOME/.ssh/ 下 ， 并 且 将 权限 修改 为 
仅 有 该 用 户 可 读 ; 

将 公 钥 放 在 任何 一 个 想 要 登录 的 服务 器 端的 某 用 户 的 根 目录 的 .ssh 目录 下 , 即 可 完成 整 
个 配置 过 程 。 

下 面 就 按照 上 述 3 个 步骤 的 思路 以 172.18.12.178 和 172.18.12.179 两 个 结 点 为 例 详细 讲 
述 SSH 无 密码 登录 的 配置 过 程 。 
O 由 于 本 例 中 是 实现 主 控 结 点 无 密码 登录 局 域 网 内 的 从 属 结 点 ， 因 此 ， 主 控 结 点 就 等 同 于 上 


述 配置 步骤 中 的 客户 端 ， 


从 属 结 点 等 同 于 服务 器 


器 端 。 首先 对 SSH 服务 器 端 进行 设置 ， 用 vi 


命令 编辑 从 属 结 点 172.18.12.179 的 /etc/ssh/sshd_config 文件 ， 将 AuthorizedKeysFile 行 的 注 


释 符 取消 ， 如 图 4-22 所 示 。AuthorizedKeysFile 规定 了 无 名 


件 的 路 径 。 


密码 登录 时 ， 读 取 客 户 端 公 钥 的 文 


(2) 配置 好 sshd config X 


4-22 letc/ssh/sshd config 文件 需 添 加 的 语句 


件 后 ， 就 可 以 在 主 控 结 点 172.18.12.178 输入 下 面 命令 产生 公私 钥 对 ， 
按 Enter 键 选择 默认 设置 , 如 图 4-23 所 示 , 生成 的 私 钥 名 字 为 id_rsa, 公 钥 名 字 为 id_rsa.pub。 
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ssh-keygen -t rsa 


图 4-23 主 控 结 点 产生 公私 钥 对 


在 /root/.ssh 目录 下 就 能 看 到 刚才 所 产生 的 公私 钥 对 ， 如 图 4-24 所 示 。 


11:04 autt 


图 4-24 ”公私 钥 对 的 存放 目录 和 属性 

© 将 上 一 步 所 产生 的 公 钥 复制 到 从 属 结 点 172.18.12.179 上 ， 复 制 的 可 以 使 用 下 面 命令 以 
rep 的 方式 传输 ; 或 者 使 用 上 一 节 所 介绍 的 SSH Secure Shell Client 经 过 Windows 系统 中 转 

然后 利用 cat 命令 将 公 钥 内 容 附 在 前 面 设 定 的 AuthorizedKeysFile 文件 之 后 。 本 例 中 为 

authorized keys 文件 ， 如 图 4-25 所 示 ， 所 用 命令 分 列 如 下 : 


scp id rsa.pub root@172.18.12.179 :/root/.ssh 


cat id rsa.pub»»authorized keys 


图 4-25 从属 结 点 公 钥 的 放置 


O 最 后 测试 在 主 榨 结 点 172.18.12.178 上 登录 从 属 结 点 ， 输 入 下 面 命令 ， 


可 以 看 到 无 需 输入 密 
码 便 直接 登录 上 了 172.18.12.179 结 点 ， 如 图 4-26 所 示 


ssh 172.18.12.179 


的 点 评 与 拓展 : 只 要 把 172.18.12.178 所 产生 的 公 钥 文件 id_ rsa.pub 逐一 复制 到 局 域 


网 内 的 所 有 计算 从 属 结 点 ， 便 可 以 实现 无 密码 SSH 登录 所 有 计算 结 点 ， 这 样 便 省 去 了 每 次 
SSH 连接 都 要 输入 同样 密码 的 重复 劳动 ， 大 幅度 增加 了 网 络 管理 员 的 管理 效率 
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4.4.1 


VNC(virtual network computing) 
操控 远程 计算 机 的 软件 ， 其 采 
主要 由 两 部 分 组 成 : VNC Server 及 VNC Viewer. HA T 
AT VNC Viewer 控制 被 书 
s. Linux, UNIX, MacOS 等 ， 


IE SEN 


不 同 操作 系统 之 间 
VNC 提供 了 图 
程序 ，# 


X-Win32 底层 也 采 


互 之 间 存 在 干扰 ; VN 


允许 其 对 Linux 用 上 
VNC 客户 端 通 


显示 装置 。 


上 后 ， 才 能 在 主 按 
的 相互 远程 
使 用 被 控 端 的 系统 


图 形 化 应 用 程序 ， 如 GFtp. Java-COG 等 。 
议 ， 但 是 当 多 用 户 并 行 操作 时 ， 


4-26 ”测试 无 密码 登录 从 属 结 点 


4.4 VNC 服务 的 配置 和 应 用 


VNC 概述 


E 


持 多 种 操作 系统 ， 包 括 Window: 


形 化 界面 的 
资 


HT SSH H 


ny 
过 


在 客户 端 输入 


是 客户 端 通过 VNC Server 的 验证 ， 客 / 
权 交 由 VNC Server 负责 。 
i 的 桌面 环境 利用 VNC 通信 协议 送 至 客户 端 , 并 上 
制 VNC Server 的 桌面 环境 及 输入 装置 。 


被 控 端 将 画面 


VNC Server 将 


基 机 密码 后 ，VNC Server 验证 


TET 


jeit 


4.4.2 VNC 的 配置 和 启动 


EL Fi, -在 
最 早 是 一 套 


HT GPL 授权 条 款 ， 


C 彻底 解决 了 这 一 不 足 ， 
1 权限 进行 配置 。 整 个 VNC 运行 的 工作 流程 一 般 如 下 。 
VNC Viewer 连接 至 VNC Server。 
VNC Server 传送 一 对 话 窗口 至 客户 端 ， 要 求 输入 联机 密码 ， 以 及 存 


远程 操作 ， 就 如 同 用 户 亲 自 坐 在 被 控 
源 ， 这 也 是 它 与 SSH 的 最 大 区 别 。 它 用 


以 往 ， 人 们 习惯 于 


为 并 行 操作 的 上 


' 端 即 要 求 VNC 


剑桥 大 学 AT&T 实验 : 

任何 人 都 可 免费 
要 先 将 VNC Server 
VNC Server 和 VNC Viewer 支 
用 VNC 服务 实现 


客户 端 是 否 具有 存 取 权 限 。 


Xy nr EUR 


EH X 
多 个 


HPRH 


户 分 别 分 配 了 


ru 


Server 显示 桌 


AAT 
-远程 启动 服务 器 的 
-Win32 进行 远程 操作 ， 


ROT A OA RT 
得 该 软件 。VNC 软件 


安装 在 被 控 庙 


-被 控 端 的 应 用 


-个 窗口 ， 相 
独立 窗口 ， 并 


的 VNC Server 


面 环境 。 


允许 客户 端 控 


本 节 讲 述 VNC 服务 器 端的 配置 步骤 以 及 VNC 服务 器 端 监控 进程 的 启动 。 
Q) Fedora 默认 安装 了 VNC 服务, 可 以 使 用 下 面 命令 检查 系统 是 否 已 经 安装 了 VNC 服务 或 查 
看 安装 的 是 何 种 版 本 的 VNC 服务 。 


rpm -q vnc-server 


。85 。 


Linux 服务 器 架设 与 管理 


如 图 4-27 所 示 ，VNC 服务 已 经 安装 ， 版 本 为 4.1.1-36。 如 果 VNC 服务 没有 安装 ， 则 利用 


Fedora 安装 盘 上 的 RPM 包 进 行 安 装 。 


图 4-27 检查 VNC 安装 包 


O VNC 服务 支持 多 桌面 , 它 为 每 个 桌面 分 配 一 个 桌面 号 , 每 个 用 户 的 连接 需要 占用 一 个 桌面 ， 

每 个 桌面 通过 一 个 TCP 端口 进行 通信 .VNC 默认 1 号 桌面 通过 5901 号 端口 利用 TCP 协议 
5,2 号 桌面 通过 5902 号 端口 通信 ， 以 此 类 推 。 如果 Linux 服务 器 开启 了 防火 墙 功 能 ， 
就 需要 开放 TCP 协议 所 对 应 的 端口 。 因 此 ， 在 启动 VNC 桌面 之 前 ， 一 定 要 开启 从 5901 F 
始 的 TCP 端口 ， 可 以 使 用 下 面 命令 添加 防火 墙 规则 (第 一 条 命令 开启 5901 一 个 端口 ， 第 二 
条 命令 开启 从 5901—5910 之 间 的 所 有 端口 ) iptables 命令 在 第 3 章 “Linux 防火 墙 与 NAT 
服务 ”中 已 经 详细 介绍 过 ， 在 此 不 作 解 释 ， 仅 将 命令 分 列 于 下 : 


iptables -I INPUT -p tcp --dport 5901 -j ACCEPT 
iptables -I INPUT -p tcp --dport 5901: 5910 -j ACCEPT 


VNC 服务 所 有 的 配置 文件 存放 在 /root/.vne 目录 下 ， 如 图 4-28 所 示 。 其 中 passwd 文件 存放 
了 VNC 口令 的 密 文 ; xstartup 是 系统 自动 为 用 户 建立 的 配置 文件 ， 以 后 每 次 启动 VNC 服务 
时 ， 都 会 读 取 该 文件 中 的 配置 选项 。 


4-28 /root/.vnc 目录 
Q 做 好 准备 工作 后 , 我 们 可 以 使 用 命令 vncserver :1 启动 1 号 桌面 , 以 此 类 推 . 如 图 4-29 所 示 ， 
vncserver :5 启动 了 尚未 启动 的 5 号 桌面 ， 系 统 提示 成 功 ; 当 输 入 vncserver :1 时 ， 系 统 提示 
1 号 桌面 已 经 启动 。 


图 4-29 启动 VNC 桌面 命令 

O 为 了 方便 地 管理 桌面 号 与 用 户 之 间 的 对 应 关系 ，VNC 服务 将 这 些 配置 信息 写 入 文件 
vncservers 中 ， 该 文件 存放 在 /etc/sysconfig ERF. H vi 命令 打开 该 文件 ， 添 加 下 面 的 两 条 
语句 ， 如 图 4-30 所 示 。 
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图 4-30 在 vncservers 中 添加 的 内 容 


VNCSERVERSERS-"1:root 3:root" 
VNCSERVERSERS-"2 : bob" 


这 两 条 语句 将 1 号 和 3 号 桌面 与 root 用 户 相 绑 定 ，2 号 桌面 与 bob 用 户 连接 ， 请 注意 : bob 
用 户 必 须 为 Linux 的 系统 用 户 。 当 下 次 以 root 用 户 远程 登录 时 ，VNC 分 配给 它 1 号 桌面 或 
3 号 桌面 ， 以 bob 用 户 登录 时 ， 分 配给 它 2 号 桌面 。VNC 服务 每 次 启动 时 都 会 根据 这 个 配 
置 文件 自动 创建 桌面 号 

[5] 利用 vnepasswd 命令 可 以 修改 用 户 登 录 VNC 的 密码 ， 如 图 4-31 Bro. root 用 户 利用 
vncpasswd 命令 修改 了 自己 的 登录 密码 。 如 果 bob 用 户 需要 修改 密码 ， 则 首先 在 shell 输入 
以 下 命令 切换 到 bob 用 户 ， 然 后 使 用 vncpasswd 修改 


su bob 


图 4-31 更 改 VNC 密码 


4.4.3 Tight VNC Viewer 软件 


应 用 实例 导航 一 一 利用 VNC 图 形 化 登录 


KAREM 


某 公司 网 络 管理 员 现 在 需要 为 一 放置 在 异地 分 公司 的 服务 器 下 载 软 件 ， 采 用 远程 控制 
服务 器 方式 ， 该 服务 器 的 下 地址 为 172.18.12.179， 并 且 要 求 利 用 图 形 化 GFTP TRZ IP 
地 址 为 172.18.12.238 的 FTP 服务 器 。 
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(1) 利用 Tight VNC Viewer 软件 远程 操控 服务 器 。 
(2) 利用 GFTP 软件 登录 FTP 服务 器 。 


本 节 介绍 如 何在 Windows 平台 上 利用 VNC 远程 操控 服务 器 ， 推 荐 使 用 Tight VNC 
Viewer 软件 ， 该 软件 是 免费 软件 ， 下 面 详细 介绍 其 下 载 、 安 装 和 使 用 过 程 。 
Q 用 户 可 以 到 官方 网 站 http://www tightvne.com/download html 下 载 ， 如 图 4-32 所 示 ， 官方 网 
站 提供 了 Tight VNC Viewer 软件 的 Windows 和 Linux(Fedora 6.0) 版 本 。 


图 4-32 VNC Viewer 下载 


© 下 载 完毕 之 后 ， 安 装 过 程 很 简单 ， 按 照 默 认 值 安装 即 可 。 需 要 注意 的 是 ， 在 步骤 Select 
Components 中 ， 选 择 Custom installation 选项 ， 取 消 选 中 TightVNC Server 复 选 框 ， 即 只 安 
装 客户 端 程序 ， 如 图 4-33 所 示 。 


È Setup — TightYMC 


Select Component: 
Which compononls should bo installed? 


Select te conporertsyou Wan to al cer the conporents youdo rot want to 
instal. Chek Next when you are mady to continue. 

[EC * 
EE 
| 加 Tint NC Viewer 04MB 


oa 13MB 


Ciment selection requies at leac: BMB of diik space 


<Back |à Nex> ) (7 Conca 
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© 安装 完毕 之 后 ， 打 开 Tight VNC Viewer 程序 ， 出 现 如 图 4-34 所 示 界 面 ,需要 用 户 填写 服务 
器 们 地 址 及 桌面 号 ， 图 中 所 示 连 接 亿 为 172.18.12.179 服务 器 的 1 号 桌面 。 


ht¥HC Connection 


VNC server. [172.18.12.173:1 ejl E i 
TER , „Opti 

ici (* Default connection options px 
(7 High-speed network DES 


图 4-34 VNC Viewer 初始 界面 


Q 单 击 图 4-34 中 的 Connect 按钮 ，Tight VNC Viewer 尝试 连接 远程 服务 器 。 连 接 上 后 出 现 如 
图 4-35 所 示 的 界面 ， 根 据 前 面 配 置 ，1 号 桌面 与 root 用 户 相关 联 ， 因 此 ， 需 要 输入 root 用 
户 的 密码 。 
IightVNC Connection 


Connecting to 172.18.12.179:1 ... 
Status: Security type requested. 


Hide | 


Standard VNC Authenti... [X] 


VNC Host: |172.18.12.179:1 
at User name: | 
Password: I 


[Lm ] cm | 


图 4-35 输入 密码 


Q 正确 输入 密码 ， 单 击 OK 按钮 ， 则 出 现 Linux 服务 器 的 X-Window 界面 如 图 4-36 所 示 。 通 
过 VNC 我 们 就 可 以 像 坐 在 Linux 服务 器 前 面 一 样 操纵 它 了 。 

Q 在 X-Window 界面 下 打开 终端 这 时 的 操作 就 类 似 于 你 在 Windows 操作 系统 下 操作 了 ， 不 
过 Linux 的 X-Window 界面 不 如 Windows 操作 方便 . 假设 gftp 安装 在 /usr/local/gftp 目录 下 ， 
进入 该 目录 的 /bin 目录 ， 可 以 看 到 有 gftp 可 执行 文件 ， 执 行 它 就 能 打开 图 形 化 的 gftp 工具 ， 
启动 gftp 进程 ， 如 图 4-37 所 示 。 

Q eip 界面 如 图 4-38 所 示 ， 它 提供 了 与 Windows 系统 下 CuteFTP 和 LeapFTP 等 软件 相 类 似 
的 功能 。 正确 输入 FTP 的 IP 地 址 ， 默 认 端 口 为 21， 输 入 用 户 名 和 密码 ， 就 能 登录 指定 的 
FTP。 图 中 左边 窗口 是 本 地 Linux 文件 系统 ， 右 边 窗口 是 FTP 目录 ， 利 用 中 间 的 回 和 四 按 
钮 可 以 方便 实现 FTP 的 上 传 和 下 载 功能 。 
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图 4-38 利用 gftp 下 载 软件 
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本 章 介绍 了 架设 Linux 服务 器 首先 要 解决 的 问题 一 一 远程 控制 问题 ,并 详细 介绍 了 目前 
3 种 远程 控制 解决 方案 : Telnet. SSH 服务 和 VNC 服务 。 在 介绍 3 种 服务 配置 和 应 用 的 同 
时 ， 简 单 介绍 了 非 对 称 加 密 体系 的 基本 原理 、 常 见 的 服务 器 组 网 的 拓扑 结构 、VNC 相对 于 
传统 图 形 化 控制 的 优势 等 基础 知识 。SSH 提供 了 安全 可 靠 的 纯 命令 行 方式 控制 服务 器 ， 与 
之 相配 合 的 VNC， 则 提供 了 友好 的 图 形 化 控制 服务 器 的 方式 ， 这 两 种 方法 的 结合 使 用 完全 
可 以 解决 远程 控制 方面 的 所 有 问题 。 
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NFS(Network File System) 最 基本 的 思想 就 是 让 任意 多 的 客户 端 与 服务 器 共享 一 个 文件 
系统 ， 多 用 于 UNIX/Linux 所 构建 的 分 布 式 系统 中 。NIS(Network Information Service) 服 务 用 
于 在 大 型 网 络 中 统一 集中 管理 多 台 Linux 主机 的 用 户 的 账号 数据 ，NIS 服务 器 相当 于 黄页 ， 
当 有 用 户 要 登录 网 络 中 的 某 台 Linux 主机 时 ， 该 主机 就 会 到 NIS 服务 器 上 去 查询 该 用 户 的 
账号 和 密码 以 进行 验证 。 本 章 介绍 NFS 和 NIS 的 原理 、 服 务 器 端的 配置 方法 及 客户 端的 配 
置 和 测试 等 内 容 , 最 后 结合 NFS 和 NIS 来 实现 对 分 布 式 系统 用 户 账号 和 根 目录 的 统一 管理 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 主要 内 容 : 
NFS 的 工作 原理 
NFS 服务 器 端的 配置 
NIS 的 工作 原理 
NIS 主 从 服务 器 的 配置 
结合 NFS 和 NIS 管理 系统 用 户 
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5.4.1. NFS 服务 概述 


NFS(Network File System) 称 为 网 络 文件 系统 , 是 不 同 UNIX/Linux 计算 机 之 间 通 过 网 络 
实现 文件 共享 的 一 种 网 络 协议 ， 最 早 是 由 Sun 公司 开发 出 来 的 。 NFS 使 用 方便 ， 得 到 了 广 
泛 的 认可 ， 并 被 国际 互联 网 工程 组 制定 为 RFC1904、RFC1813 和 RFC3030 标准 。 

NFS 最 大 的 功能 就 是 可 以 透 过 网 络 ， 让 不 同 的 机 器 、 不 同 的 操作 系统 彼此 分 享 个 别 的 
档案 (share files)。 所 以 ， 小 型 公司 或 机 构 常 常 利用 NFS 实现 简单 的 文件 服务 器 (file server). 
这 类 似 于 Windows 系统 的 文件 资源 共享 ， 不 过 NFS 是 在 UNIX/Linux 系统 下 实现 的 。NFS 
通过 挂 载 服务 器 的 共享 目录 来 访问 它们 ， 当 客户 挂 载 一 个 远程 目录 时 ， 该 目录 就 成 为 本 地 
目录 树 的 一 部 分 。 许 多 Sun 工作 站 都 是 无 盘 站 ， 一 台 无 盘 站 可 以 将 一 个 远程 的 目录 安装 成 
它 的 根 目 录 ， 它 的 整个 文件 系统 完全 由 远程 的 服务 器 来 支持 。 而 有 本 地 硬盘 的 工作 站 则 可 
以 将 远程 的 目录 挂 载 到 本 地 目录 树 中 ， 形 成 一 个 部 分 是 本 地 、 部 分 是 远程 的 文件 系统 ， 对 
于 在 客户 机 上 运行 的 程序 来 说 ， 文 件 在 本 地 还 是 在 远程 服务 器 上 是 没有 关系 的 。 

尽管 NFS 允许 一 台 机 器 可 以 同时 既是 客户 端 又 是 服务 器 ， 但 是 为 简单 起 见 ， 假 设 客户 
端 与 服务 器 运行 在 不 同 的 机 器 上 。NFS 服务 器 的 基本 结构 如 图 5-1 所 示 ，NFS 服务 器 将 目 
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3K/root/nfsshare 设置 为 共享 目录 , 其 他 客户 端 主机 可 以 将 该 共享 目录 挂 载 到 本 地 系统 的 某 个 
目录 下 ， 这 个 目录 由 客户 端 自己 定义 ， 不 同 客户 端 主机 的 挂 载 目录 可 以 不 相同 ， 但 是 需要 
注意 的 是 ， 每 个 目录 不 能 挂 载 多 个 NFS 服务 器 的 共享 目录 。 例 如 图 中 客户 端 1 的 挂 载 目录 
是 /opt/mnt， 而 客户 端 2 的 挂 载 目 录 是 /home/bob/mnt。 挂 载 成 功 后 就 可 以 在 挂 载 目录 下 看 到 
与 /root/nfsshare 完全 一 样 的 子 目 录 和 文件 ， 只 要 NFS 服务 器 设置 相应 的 权限 ， 客 户 端 就 可 
以 像 操 作 本 地 磁盘 一 样 利用 ls、cd、rm、df 等 命令 对 共享 目录 进行 文件 操作 。 


NFS 客户 洞 1 NFS 客户 端 2 NFS Jin. 
挂 载 目录 opymat JA EL /home/bob/mnt 挂 载 目录 yusrmat 


5-1 NFS 服务 器 与 客户 端 挂 载 示 意图 


如 果 认 为 NFS 仅仅 可 以 用 来 架设 文件 服务 器 ， 那么 NFS 就 显得 大 材 小 用 了 。 在 当今 
络 计算 领域 ， 因 为 大 型 机 、 中 型 机 、 小 型 机 的 发 展 已 经 受到 了 芯片 设计 的 制约 ， 所 以 分 布 
式 计算 已 经 成 为 了 高 性 能 计算 的 主流 。 所 谓 分 布 式 计算 ， 就 是 联合 多 个 计算 结 点 (这 些 结 点 
可 以 包括 大 型 机 、 中 型 机 、 小 型 机 、PC 机 以 及 最 为 流行 的 刀片 服务 器 ) 协 同 计算 。 目 前 美国 
正在 研制 pero-bytes 的 高 性 能 计算 机 ， 它 集成 上 万 个 刀片 服务 器 进行 计算 ， 仅 摆设 这 些 刀 片 
服务 器 的 机 架 就 足 足 有 三 个 足球 场 那么 大 。 在 这 种 大 规模 的 服务 器 管理 中 ，NFS 就 显示 出 
了 特殊 的 优势 : 不 难 设想 ， 逐 一 安装 这 上 万 个 刀片 的 应 用 程序 需要 花费 多 少 的 人 力 物力 ， 
那么 利用 NFS 这 些 刀片 服务 器 就 可 以 直接 将 其 应 用 程序 挂 载 到 本 地 ， 大 大 方便 了 资源 的 集 
中 管理 。 本 章 5.4 节 将 提 及 的 网 络 信息 服务 NIS(Network Information Service) 则 可 以 用 来 统 
一 管理 大 规模 服务 器 的 用 户 和 账号 。 因 此 ，NFS 和 NIS 服务 成 为 了 大 规模 网 络 管理 的 两 大 
利器 。 


5.1.2 NFS 协议 的 工作 原理 


既然 NFS 的 一 个 目标 就 是 支持 异 构 系统 ， 客 户 端 与 服务 器 能 运行 在 不 同 的 操作 系统 和 
同 的 硬件 上 ， 这 样 就 需要 在 客户 端 与 服务 器 之 间 定 义 一 个 清晰 的 接口 。NFS 定义 两 个 客 
端 /服务 器 协议 来 达到 上 述 目标 。 协 议 是 由 客户 端 向 服务 器 发 送 请 求 ， 以 及 服务 器 返回 给 
户 的 响应 组 成 的 集合 。 协 议 是 计算 机 网 络 的 主线 ， 也 是 分 布 式 系统 中 的 永恒 主题 ， 只 有 
络 协议 有 了 深入 全 面 的 把 握 ， 才 能 真正 理解 计算 机 网 络 、 理 解 分 布 式 系统 。 

NES 的 第 一 条 协议 是 关于 目录 挂 载 的 ， 客 户 端 将 一 个 路 径 发 给 服务 器 ， 请 求 将 该 路 径 
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所 说 明 的 目录 挂 载 到 它 的 目录 树 中 ， 消 息 中 不 需要 包含 客户 端的 目录 的 


载 点 的 信息 ， 因 
为 服务 器 不 需要 关心 挂 载 点 。 只 要 路 径 合 法 ， 并 且 该 目录 在 共享 目录 集合 中 ， 服 务 器 就 将 


返回 一 个 文件 指针 给 客户 端 。 这 个 指针 惟一 地 确定 了 文件 系统 的 类 型 、 硬 盘 、 该 目录 对 应 


的 工 结 点 号 以 及 安全 信息 ， 随 后 对 该 目录 的 读 写 操作 就 可 以 通过 该 文件 指针 来 进行 。 


NFS 的 第 二 条 协议 是 关于 目录 和 文件 访问 的 ， 客 户 端 通过 向 服务 器 发 送 消息 ， 以 操作 
目录 或 读 写 文件 , 也 可 以 访问 到 文件 的 属性 , 如 文件 的 模式 、 大 小 、 最 后 一 次 修改 的 时 间 等 。 
NFS 协议 是 通过 远程 过 程 调 用 机 制 (Remote Procedure Call，RPC) 来 实现 数据 共享 和 传 
输 的 ，RPC 定义 了 进程 间 网 络 通信 的 机 制 ， 屏 项 了 底层 通信 协议 的 细节 ， 人 允许 客户 端 进程 


通过 网 络 向 远程 服务 器 上 的 服务 进程 请 求 服务 。NFS 服务 器 实际 上 就 是 一 个 RPC 服务 器 ， 


RPC 指定 每 个 NFS 功能 所 对 应 的 端口 号 ， 并 且 回 馈 给 客户 端 ， 让 客户 端 可 以 连接 到 正确 
的 端口 上 。 那 么 RPC 又 是 如 何 知 道 每 个 NFS 的 端口 呢 ? 原来 当 服务 器 在 启动 NFS 时 会 随 


机 取 用 多 个 端口 ， 并 主动 应 
然后 RPC 又 固定 使 用 111 号 端口 监听 客户 端的 需求 并 回馈 客户 端正 确 的 端口 。 
图 5-2 描述 了 NFS 的 工作 原理 ， 包 括 以 下 三 个 步 又。 
客户 端 向 服务 器 端的 RPC( 端 口 111) 发 出 NFS 文件 存 取 功 能 的 询问 要 求 ; 
服务 器 端 RPC 找到 对 应 的 已 注册 的 NFS daemon 端口 后 ， 反 馈 给 客户 端 ; 
客户 端 得 到 正确 的 端口 后 ， 就 可 以 直接 与 NFS daemon 通信 了 。 


NFS 客户 端 


NFS 服务 器 


5-2 NFS 工作 原理 示意 图 
至 于 启动 NFS 服务 ， 则 至 少 需要 启动 以 下 三 个 系统 守护 进程 
* rpc.nfsd 
最 基本 的 NFS 守护 进程 ， 判 别 客户 端 用 户 是 否 能 够 登录 服务 器 。 
*  mc.mountd 


RPC 注册 ， 因 此 RPC 可 以 知道 每 个 端口 对 应 的 NFS 功能 ， 


RPC 安装 守护 进程 , 主要 功能 是 管理 NFS 的 文件 系统 。 当 客户 端 成 功 通过 rpc.nfsd 


进入 NFS 服务 器 后 ,在 使 用 NFS 服务 器 所 提供 的 文件 前 ， 还 必须 通过 文件 使 用 权 


限 的 验证 ，rpc.mountd 通过 读 取 NFS 的 配置 文件 /etc/exports 来 管理 客户 端 


户 的 


权限 。 
*  portmap 


该 进程 主要 负责 端口 映射 , 当 客 户 端 试图 连接 并 使 用 RPC 服务 器 所 提供 的 服务 时 ， 
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portmap 将 所 管理 的 与 服务 器 对 应 的 端口 号 提供 给 客户 端 ， 即 图 5-2 中 的 步骤 2 所 描 


述 的 功能 。 
5.2 NFS 服务 的 配置 
应 用 实例 导航 一 一 A 公司 架设 文件 服务 器 
※ 场 景 呈现 


假设 A 公司 准备 架设 一 台 简 易 的 文件 服务 器 ， 以 便 内 部 子 网 的 资源 共享 和 文件 交流 ; 

且 该 公司 需要 对 外 提供 一 部 分 文件 资料 ， 但 是 不 允许 外 面 IP 的 主机 对 文件 系统 进行 写 操 
作 。 网 络 拓扑 如 图 5-3 所 示 ， 主 结 点 的 外 部 IP 为 211.65.63.146， 局 域 网 IP 为 192.168.10.1, 
其 他 结 点 的 卫 从 192.168.0.2 开始 分 配 ， 至 192.168.0.33 为 止 。 

所 架设 的 文件 服务 器 的 详细 要 求 ， 描 述 如 下 。 

(1). 在 局 域 网 内 开放 /home/users 目录 ， 用 于 支持 NIS。 

(2) 在 局 域 网 内 开放 /jogmgr 和 /opt 目录 ， 分 别 用 于 支持 作业 结果 和 应 用 程序 。 

G) 对 外 开放 /root/nfs 目录 ， 使 用 属性 为 只 读 ， 除 了 提供 网 域内 的 工作 站 外 ， 向 外 亦 提 
供 数据 内 容 。 


172.18.12.179, 192.168.10.2 


5-3 A 公司 NFS 服务 器 拓扑 结构 


※ 技 术 要 领 
(1) 配置 NFS 服务 器 端 。 
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(3) WA NFS 服务 器 。 


本 实例 的 应 用 场景 在 实际 工作 中 很 常见 ， 其 文件 服务 器 的 配置 要 求 也 是 非常 基本 的 。 
下 面 将 分 别 介绍 NFS 服务 器 端 和 客户 端的 配置 以 实现 实例 中 的 功能 要 求 。 


5.2.1 NFS 服务 器 端的 配置 


目前 几乎 所 有 Linux 发 行 版 都 默认 安装 了 NFS 服务 ， 因 此 无 需 再 安装 NFS 服务 。 只 是 
在 配置 使 用 NFS 前， 需要 检查 一 下 系统 中 是 否 已 安装 好 nfs-utils 和 portmap 这 两 个 软件 包 。 
NFS 服务 器 端的 配置 相对 简单 ， 只 需 对 /etc/exports 文件 进行 配置 即 可 。 
Q Fedora 6.0 默 认 安 装 了 NFS 服务 ,因此 可 以 省 略 安装 过 程 , 直接 进入 配置 过 程 ; 在 进行 NFS 
配置 前 ， 可 以 使 用 下 面 命令 检查 系统 是 否 已 经 安装 NFS 服务 。 


rpm -q nfs-utils portmap 


如 图 5-4 所 示 , 系统 当前 已 经 安装 了 NFS 所 需要 的 nfs-utils 和 portmap 两 个 包 , 并 列 出 了 这 
两 个 包 的 版 本 号 。 


-q nfs-utils portmar 


5-4 ”检查 系统 是 否 已 经 安装 NFS 服务 


@ /etc/exports 文件 是 NES 服务 器 的 主要 设 定 文件 ， exports 文件 中 的 每 一 行 提供 了 一 个 共享 
目录 的 设置 ， 其 命令 格式 为 : 
< 共享 目录 > [客户 端 1 (参数 1, 参 数 2,…) ] [客户 端 1 (参数 1, 参数 2,…) ] 
需要 注意 的 是 ， 共 享 目录 为 必 选 参数 。 
另外 ， 格 式 中 的 共享 目录 和 客户 端 之 间 、 客 户 端 与 客户 端 之 间 都 有 空格 符 ， 但 是 客户 端 和 
参数 之 间 不 能 有 空格 。 
/etc/exports 配 置 文件 的 客户 端 指定 可 以 有 多 种 设 定 方法 , 它 定义 了 网 络 中 可 以 访问 这 个 NFS 
服务 器 共享 目录 的 计算 机 。/etc/exports 可 以 指定 单个 主机 的 IP 地 址 或 域名 ， 也 可 以 指定 某 
个 子 网 或 域 中 的 主机 。 
例如 ， 本 例 要 对 局 域 网 内 部 的 所 有 主机 开放 /home/users、/jobmgr 和 /opt 这 三 个 目录 ， 需 要 
在 exports 文件 添加 如 图 5-5 所 示 的 三 行 语句 ， 其 中 : 
192.168.10.0/255.255.255.0 指定 了 范围 在 192.168.10.1 一 192.168.10.255 的 所 有 IP; 
rw 指定 共享 目录 设置 为 可 读 可 写 ; 
no root squash 的 意思 是 如 果 root 用户 进入 NFS 共享 目录 ， 他 也 具有 root 权限 ; 
asye 的 意思 是 将 数据 先 保存 在 内 存 缓冲 区 中 ， 在 恰当 的 时 间 才 写 入 磁盘 。 

Q 接 下 来 ， 将 /tootnfs 目录 设置 为 对 内 对 外 都 开放 ， 需 要 在 exports 文件 添加 如 图 5-6 中 标注 
的 语句 ， 实 际 上 语句 : 


*96* 


第 5 章 NFS 和 NIS 服务 器 的 配置 与 应 用 


/root/nfs *(ro) 


就 是 设 定 将 /root/nfs 目录 对 外 开放 的 ， 并 且 权 限 仅 可 读 。 


图 5-6 将 /root/nfs 对 外 开放 


O 与 启动 其 他 Linux 服务 不 同 的 是 ， 在 启动 NFS 服务 前 ， 首 先 要 启动 portmap 服务 ， 利 用 下 


面 两 条 命令 即 可 完成 ， 结 果 如 图 5-7 所 示 


/etc/init.d/portmap start 


/etc/init.d/nfs start 


启动 NFS 命令 与 启动 其 他 Linux 


等 命令 只 需 改 变 命 人 


系统 服务 器 类 似 ， 那 么 其 他 重启 、 停 止 、 观 察 NFS 服务 状 
后 的 参数 即 可 ， 在 此 不 再 详细 论 


c/ini 


init.d/nfs start 


mountd 


图 5-7 启动 NFS 服务 


如 果 仅 仅 改变 /etc/exports 文件 内 容 ， 则 无 需 重启 NFS， 只 需 输入 下 面 命令 让 /etc/exports Æ 
效 即 可 ， 如 图 5-8 所 示 。 


图 5-8 重新 读 取 /etc/exports 配置 
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exportfs -arv 
exportfs 命令 可 以 带 四 个 可 选 参数 ， 如 表 5-1 所 示 。 

表 5-1 exportfs 命令 参数 

exportfs 命令 参数 描 _ 述 

输出 在 /etc/exports 中 设置 的 所 有 目录 

重新 读 取 /etc/exports 文件 中 的 设置 ， 


某 一 共享 目录 
回 显 所 设置 的 共享 目录 


并 使 设置 立即 生效 ， 但 不 需要 重启 NFS 服务 


的 点 评 与 拓展 : 只 要 理解 /etc/exports 文件 的 含义 和 exportfs 命令 的 使 用 方法 , 就 不 难 
配置 NFS 服务 器 了 。 另 外 ，portmap 使 Linux 系统 用 于 支持 RPC 机 制 ， 所 有 用 到 RPC Juil 
的 服务 需要 首先 启动 portmap 服务 。 


5.2.2 NFS 客户 端的 配置 和 测试 

NFS 服务 器 端 配置 好 后 ， 还 需要 对 客户 端 作 一 点 简单 的 配置 ， 并 且 测 试 所 架设 的 NFS 
服务 器 。 
o 客户 端 同样 需要 启动 portmap 服务 ， 该 服务 一 般 默认 为 启动 ， 可 以 输入 下 面 命令 确认 : 

ps -aux | grep portmap 


图 5-9 标注 部 分 显示 portmap 服务 已 经 成 功 启动 ， 如 果 没 有 启动 则 使 用 下 面 命 令 启动 : 


/etc/init.d/portmap start 


图 5-9 确认 portmap 服务 是 否 启动 

© 启动 客户 端的 portmap 服务 后 ,我们 开始 测试 NFS 服务 器 ,首先 在 局 域 网 内 的 主机 上 测试 。 
SSH 登录 局 域 网 内 IP 为 192.168.10.2 这 台 主 机 , 输入 showmount 命 令 可 以 看 到 NFS 服务 器 
有 哪些 共享 目录 、 这 些 权 限 是 什么 ， 用 到 的 命令 分 列 于 下 : 
ssh 192.168.10.2 
showmount -~e 192.168.10.1 
结果 如 图 5-10 所 示 ， 可 以 看 到 showmount 命令 返回 的 结果 与 我 们 在 NFS 服务 器 端的 
letc/exports 中 所 设置 的 内 容 一 致 。 

© 因为 /opt 目录 对 局 域 网 内 主机 都 开放 ,这 里 以 挂 载 /opt 为 例 说 明 挂 载 的 过 程 与 效果 。 输 入 下 
面 命令 挂 载 某 个 共享 目录 : 
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mount —t nfs 192.168.10.1:/0pt /opt 


该 命令 说 明 将 主机 192.168.10.1 的 共享 目录 /opt 挂 载 到 本 机 的 /opt 下 ， 本 机 的 /opt 目录 称 为 
挂 载 点 (mount point). 挂 载 成 功 后 , 输入 ls /opt 命令 , 就 会 列 出 NFS 服务 器 的 /opt 目录 内 容 ; 
输入 性 命令 会 看 到 除了 本 机 的 磁 益 外 ， 多 了 一 个 192.168.10.1:/opt， 如 图 5-11 所 示 。 


]f mount -t nfs 
]$ ls 


图 5-11 挂 载 /opt 目录 
那么 如 何 印 载 


目录 呢 ? Linux 系统 提供 了 umount 来 实现 ， 如 下 : 


umount /opt 


结果 如 图 5-12 所 示 ， 这 时 再 输入 df 查看 磁盘 命令 时 ， 就 发 现 少 了 192.168.10.1:/opt 这 项 ， 
享 目录 已 经 被 成 功 印 载 


$ umount /opt 
daf 


图 5-12 #$/opt 目录 


上 面 两 步 测 试 了 内 部 局 域 网 的 主机 ,实例 中 要 求 将 /rootnfs 开放 给 外 部 主机 ， 在 此 测试 外 部 
主机 是 否 能 够 挂 载 /root/nfs 目录 。 


登录 IP 为 172.18.12.179 的 主机 ， 输 入 下 面 命令 查看 NFS 服务 器 所 开放 的 共享 目录 ， 注 意 
命令 中 用 的 是 NFS 服务 器 的 外 部 IP 地 址 ， 由 拓扑 图 知 ， 外 部 IP 地 址 为 211.65.63.146。 


showmount -e 211.65.63.146 
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E 5-13 显示 了 NFS 服务 器 提供 的 共享 目录 ， 与 内 部 主机 的 显示 结果 一 样 。 

同样 可 以 利用 mount 44-3 £t/root/nfs 目录 , 如 图 5-13 所 示 . 然后 , 使 用 df 命令 查看 mount 
的 结果 ， 可 以 发 现 172.18.12.179 这 台 外 部 主机 多 了 211.65.63.146:/ro0t/nfs 共享 目录 ， 说 明 
该 NFS 服务 器 在 外 部 主机 上 也 可 以 挂 载 成 功 ， 所 使 用 到 的 两 条 命令 分 列 如 下 : 

mount -t nfs 211.65.63.146:/root/nfs /root/nfs 

df 


其 中 : /root/nfs 7j IP 为 172.18.12.179 的 主机 的 挂 载 点 。 
卸载 命令 与 内 部 主机 一 样 


umount /root/nfs 


图 5-13 ”外 部 主机 挂 载 /root/nfs 
的 点 评 与 拓展 : 需要 注意 的 是 ， 内 部 局 域 网 挂 载 NFS 服务 器 的 共享 目录 是 通过 服务 


器 的 内 部 IP 地 址 ， 外 部 主机 则 是 通过 NFS 服务 器 的 外 部 IP 地 址 ， 正 如 场景 中 网 络 拓扑 图 
所 展示 的 一 样 ， 


5.3 ” 主 从 架构 下 的 NFS 服务 


应 用 实例 导航 一 一 为 主 从 架构 网 络 配置 NFS 服务 


KAREM 


为 了 满足 高 性 能 计算 的 需求 ， 某 机 构 购 置 了 32 台 刀 片 服务 器 ， 用 于 并 行 计算 ， 这 些 刀 
片 服务 器 由 一 台 主 服务 器 统一 控制 ， 它 们 具有 同样 的 操作 系统 和 文件 系统 ， 通 过 高 速 链 路 
耦合 。 为 了 统一 高 效 地 管理 这 些 刀片 服务 器 的 文件 系统 ， 网 络 管理 员 不 希望 一 台 一 台 登 录 


从 结 点 挂 载 主 服务 器 的 共享 目录 ， 而 希望 通过 主 控 结 点 统一 远程 为 这 些 刀片 服务 器 挂 载 或 
印 载 共 享 目录 。 
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要 求 结合 NFS 配置 、shell 脚本 的 编写 等 知识 实现 在 主 控 结 点 端的 统一 挂 载 和 外 载 共享 


目录 。 网 络 拓扑 如 


5-14 所 示 ， 主 结 点 的 局 域 网 IP X 192.168.10.1, HLA nodelib, H 


他 结 点 的 IP 从 192.168.0.2 开始 分 配 ， 至 192.168.0.33 为 止 ; 主机 名 从 node2ib 开始 分 配 ， 
到 node33ib Jy 1E. 32 个 结 点 的 主机 名 和 IP. 地 址 的 对 应 关系 已 经 写 入 到 主 服 务 器 及 所 有 子 结 
点 的 /etc/hosts 文件 中 。 


5-14” 主 从 架构 拓扑 示意 图 


BORSE SR 


(1) 理解 何谓 主 从 架构 ，NFS 在 主 从 架构 下 的 存在 意义 。 
(2) 实现 在 主 控 结 点 统一 挂 载 和 外 载 共享 目录 。 


5.3.1 主 从 架构 下 NFS 服务 的 需求 


早期 的 计算 相 


一 直 是 庞大 昂贵 的 设备 ， 即 便 是 小 型 机 也 要 花费 数 万 美元 ， 这 使 得 大 多 


数 机 构 只 有 为 数 不 多 的 几 台 机 器 ， 而 且 由 于 这 些 机 器 间 缺 乏 互联 的 手段 ， 通 常 只 能 各 自 独 


立地 工作 。 从 20 


世纪 80 年 代 开始 ， 微 型 计算 机 的 功能 变 得 越 来 越 强 大 ， 由 8 位 的 微机 发 


展 到 了 普遍 的 32 位 ， 现 在 甚至 64 位 的 微机 也 变 得 非常 普遍 ， 它 们 具有 早期 大 型 机 的 计算 


能 力 ， 但 是 价格 


低 得 多 。 正 是 这 个 经 济 上 的 因素 促使 了 计算 机 系统 由 集中 式 发 展 到 分 布 


式 , 一 大 群 微机 由 高 速 局 域 网 互联 所 组 成 的 分 布 式 系统 不 仅 比 集中 式 系 统 有 更 好 的 性 价格 ， 
而 且 具 有 任何 价位 上 的 大 型 机 都 无 法 达到 的 性 能 。 其 他 的 很 多 优点 也 使 得 分 布 式 计算 系统 


变 得 越 来 越 流行 。 


我 们 总 结 了 分 布 式 系统 的 几 大 优点 ， 如 表 5-2 所 示 。 


* 101 * 


s Linux 服务 器 架设 与 管理 押 


表 5-2 分 布 式 系统 的 优点 


优 点 描 xk 
高 性 价 比 微 处 理 器 通过 高 速 局 域 网 的 互联 提供 比 大 型 机 更 好 的 性 价 比 
速度 分 布 式 系统 提供 比 大 型 机 更 强 的 计算 能 力 
可 靠 性 当 某 些微 机 崩溃 时 ， 整 个 系统 仍然 能 够 正常 运转 
可 扩展 性 可 以 随时 增加 微机 以 增强 计算 能 


计算 机 主 从 架构 (master/slave architecture) 是 分 布 式 系统 中 最 普遍 的 体系 架构 之 一 , 其 应 
日 也 变 得 越 来 越 广泛 。 那 么 何谓 主 从 架构 呢 ? 就 是 说 ， 主 控 结 点 主机 通过 高 速 链 路 连接 各 


从 结 点 主机 ， 并 对 其 具有 绝对 的 控制 权 ， 包 括 其 文件 系统 的 构建 、 计 算 任 务 的 分 配 和 回收 
等 ; 而 各 从 结 点 由 同 构 的 Linux 服务 器 形成 ， 各 结 点 间 具 有 相同 的 文件 系统 、 系 统 软件 以 及 
系统 用 户 ， 可 以 并 行 完 成 计算 任务 。 在 这 种 体系 结构 下 ，NFS 就 大 有 用 武之 地 了 ， 因 为 所 
有 的 从 结 点 主机 需要 有 同样 的 应 用 程序 目录 或 作业 目录 ， 而 这 可 以 通过 挂 载 主 控 结 点 上 的 


相应 共享 目录 来 实现 。 


但 还 有 一 个 问题 是 ， 当 从 结 点 规模 很 大 时 ， 网 络 管理 员 也 不 愿意 一 台 人 台地 登录 每 个 从 
服务 器 去 挂 载 主 控 结 点 的 共享 目录 ， 这 需要 耗费 大 量 的 精力 ， 而 希望 直接 在 主 控 结 点 上 统 
一 为 所 有 的 从 结 点 挂 载 共享 目录 ， 这 与 5.2 节 “NFS 服务 的 配置 ”所 介绍 的 NFS 服务 挂 载 
方式 就 有 所 不 同 了 。 本 节 将 介绍 这 种 从 NES 服务 器 端 统 一 挂 载 客 户 端 共享 目录 ， 并 具备 良 
好 扩展 性 的 方法 。 目 前 ， 随 着 集群 技术 (clusteD 的 不 断 成 熟 ， 集 群 产品 化 和 产业 化 的 趋势 也 
越 来 越 明显 ， 集 群 就 是 利用 网 络 进行 连接 的 多 台 计算 机 的 集合 ， 这 些 连 接 在 一 起 的 计算 机 
使 用 起 来 像 一 个 单一 的 一 体 计算 资源 。 集 群 的 操作 系统 通常 使 用 的 是 UNIX 或 Linux， 体 系 
架构 一 般 采 用 的 是 主 从 架构 ， 因 此 ，NFS 服务 器 端 统一 挂 载 客户 端 共 享 目录 的 方法 被 广泛 


地 使 用 到 了 集群 中 。 


5.82 NFS 服务 器 端 统一 控制 目录 挂 载 


本 节 介 绍 的 方法 ， 需 要 在 SSH 无 密码 登录 调试 通过 的 基础 上 实现 ， 也 就 是 说 主 控 结 点 
和 从 结 点 两 两 之 间 都 能 够 无 密码 登录 ， 具 体 的 SSH 无 密码 登录 的 原理 及 配置 方法 请 参见 第 


43 节 “ 配 置 SSH 无 密码 登录 ”的 介绍 。 一 旦 SSH 无 密码 登录 成 功 后 ，3 


E 控 结 点 就 可 以 通 


过 SSH 协议 远程 执行 命令 , 当 需 要 在 NFS 服务 器 端 统一 控制 共享 目录 挂 载 时 只 需 远 程 执行 


挂 载 命令 即 可 实现 。 由 于 通常 对 主 从 架构 下 的 从 属 结 点 统一 编号 ， 因 此 可 
程 执行 命令 封装 成 普遍 适用 的 脚本 以 方便 用 户 对 从 属 结 点 的 管理 。 下 面 
的 脚本 及 实现 NFS 服务 器 端 统一 控制 共享 目录 挂 载 的 方法 。 


以 将 SSH 协议 远 
绍 远程 执行 命令 


@ 在 网 络 配置 方面 ， 为 了 方便 管理 ， 通 常 需要 为 从 属 结 点 统一 设 定 主机 名 ， 假 设 本 例 的 主 控 
fk A IP X 192.168.10.1, 主机 名 为 nodelib; 那么 从 属 结 点 的 IP 就 可 以 从 192.168.10.2 开 
始 分 配 、 主 机 名 从 node2ib 开始 分 配 ; 第 i 个 Slave 主机 IP 为 192.168.10.it1， 主 机 名 为 
node(i+1)ib。 我 们 将 局 域 网 他 和 主机 名 的 对 应 关系 写 入 /etc/hosts 文件 ， 如 图 5-15 所 示 ， 这 
里 我 们 写 出 前 4 人 台 主 机 做 示例 ， 实 际 上 ， 应 该 是 有 几 合 从 属 结 点 就 写 几 行 IP 与 主机 名 的 对 
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图 5-15 /etc/hosts 文件 配置 

过 SSH 协议 远程 执行 命令 可 以 通过 层 层 谋 套 的 三 个 脚本 来 实现 ， 这 三 个 脚本 的 名 字 分 别 
为 hostgen、sshrrun 和 sshrrunon。 其 中 hostgen 用 于 产生 Slave 主机 名 ， 这 与 上 面 的 编号 方 
式 有 关 ， 上 一 步 的 编号 使 得 从 属 结 点 主机 名 的 区 别 仅 在 于 中 间 数 字 的 区 别 ， 因 此 加 上 前 组 
和 后 组 就 形成 了 完整 的 主机 名 ， 如 图 5-16 所 示 ; sshrrun 在 无 密码 登录 的 基础 上 ， 通 过 SSH 
协议 实现 远程 执行 命令 ; sshrrunon 封装 了 前 两 个 脚本 ， 提 供 对 外 接口 ， 输 入 参数 是 需要 远 
程 执行 的 命令 ， 以 及 起 始 主机 编号 和 终止 主机 编号 ， 分 别 作 为 sshrrun 和 hostgen 脚本 的 输 
入 参数 。 用 户 最 终 要 使 用 的 仅仅 是 sshrrunon 脚本 ， 而 无 需 调 用 其 他 的 两 个 脚本 。 

本 书 附 带 的 光盘 提供 了 这 三 个 脚本 ， 读 者 只 需 将 其 复制 到 Linux. 的 某 个 目录 下 ， 本 例 将 它 
们 复制 到 rootnfs 目录 中 ， 将 权限 都 改 成 可 执行 ， 这 样 就 可 以 直接 调用 sshrrunon 脚本 。 在 
此 ， 不 详细 解释 这 三 个 脚本 的 语义 ， 因 为 语义 与 shell 编程 规范 相关 ， 其 基本 知识 在 1.3.3 
节 “shell 脚本 ”中 作 过 简单 介绍 ， 在 此 直接 讲述 如 何 利用 这 几 个 脚本 实现 场景 的 要 求 。 图 
5-16、 图 5-17 和 图 5-18 分 别 显示 了 hostgen、sshrrun 和 sshrrunon 三 个 shell 脚本 的 代码 


图 5-17 sshrrun 脚本 


© 进入 包含 上 述 三 个 脚本 的 目录 ， 本 例 是 进入 /rootnfs 目录 ， 使 用 下 面 命令 将 /opt 挂 载 到 第 2 
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点 和 第 3 个 结 点 ， 即 node2ib 和 node3ib 这 两 个 结 点 ， 结 果 如 图 5-19 所 示 。 屏幕 回 显 在 
行 哪 条 命令 ， 如 果 执 行 不 成 功 回 显 错误 信息 。 


sshrrunon "mount -t nfs 192.168.10.1:/opt /opt" 2 3 


引号 里 面 的 是 所 要 远程 执行 的 命令 ， 然 后 是 起 始 结 点 号 和 终止 结 点 号 ， 上 面 命 令 的 意思 是 
在 2 号 结 点 到 3 号 结 点 上 执行 mount -tnfs 192.168.10.1:/opt /opt 这 条 命令 . 读者 一 般 只 要 知 
道 sshrrunon 这 个 脚本 的 用 法 即 可 。 

如 果 需 要 挂 载 nodelSib—node33ib 范围 内 的 所 有 结 点 ， 则 命令 可 扩展 为 ; 


sshrrunon "mount -t nfs 192.168.10.1:/opt /opt" 15 33 


过 sshrrunon "df" 2 3 这 条 命令 查看 node2ib 和 node3ib 这 两 个 结 点 上 的 挂 载 情 
况 ， 


admin]$ 


cotGcgsp nfs]f sshrrunon " 
sshrun mount 
sshrun mount 

otGsgep nfe]# sshrrunon 


Mounted on 


图 5-19 ”远程 挂 载 共 享 目录 


四 点 评 与 拓展 : 这 三 个 脚本 很 实用 ， 稍 作 修 改 可 以 适用 于 其 他 主 从 结构 的 网 络 ， 能 
够 远程 执行 一 切 shell 命令 。 脚 本 的 写 MP shell 编程 规范 ， 读 者 通过 阅读 相关 shell 编程 
介绍 ， 就 不 难 掌握 
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54 NIS 服务 简介 


5.4.1 NIS 服务 概述 


NIS(Network Information Service) 是 一 种 能 够 集中 管理 网 络 中 所 有 主机 账号 信息 的 服务 
器 软件 。 一 个 大 规模 网 络 中 , 往往 有 多 部 Linux 主机 ， 如 果 每 台 主 机 都 要 重复 设 定 相同 的 
户 账号 和 密码 ， 可 想 而 知 数据 是 相当 宛 余 的 。 如 果 有 一 台 主 服务 器 专门 管理 所 有 主机 的 
号 ， 当 用 户 登录 其 他 主机 时 ， 就 到 这 台 主 服务 器 来 请 求 相关 的 用 户 账 号 密码 等 信息 ， 这 
就 能 极 大 地 避免 重复 设 定 用 户 账号 信息 的 工作 ， 节 省 主机 空间 资源 ， 提 高 使 用 效率 。 此 外 ， 
若 要 增加 、 修 改 或 删除 用 户 账号 信息 ， 也 只 要 到 该 主 服务 器 上 处 理 就 可 以 了 。 
我 们 知道 , 一 台 Linux 主机 的 功能 要 尽 可 能 单一 , 最 好 只 提供 一 项 专门 服务 ， 这样 ,一 
方面 可 以 充分 利用 系统 资源 ， 另 一 方面 系统 发 生 问题 时 可 以 比较 容易 地 找到 问题 所 在 。 一 
个 大 型 网 络 中， 往往 设 有 多 台 提 供 专门 服务 的 Linux 主机 ， 如 有 的 专门 提供 Web 服务 ， 有 
的 专门 提供 FTP 服务 ， 有 的 专门 提供 Mail 服务 ， 等 等 。 而 所 有 这 些 Linux 主机 的 用 户 账号 
和 密码 都 是 一 样 的 , 如 果 该 网 络 上 用 户 数量 很 大 的 话 , 那么 每 台 Linux. 主机 上 用 户 账号 管理 
这 方面 的 工作 量 还 是 非常 可 观 的 。NIS 则 提供 了 专门 管理 用 户 账号 和 密码 的 功能 。NIS 主机 
一 台 专 门 管理 账号 信息 的 主机 ， 当 其 他 Linux 主机 有 用 户 要 登录 时 ， 就 必须 到 这 人 台 专门 
管理 用 户 账号 信息 的 主机 来 查询 用 户 账号 和 密码 。 如 果 要 管理 所 有 Linux 主机 的 账号 信息 ， 
也 只 要 到 这 人 台 主 机 上 去 设 定 即 可 。 


5.4.2 NIS 服务 的 工作 流程 


Xm 


在 一 个 大 型 网 络 中 ， 所 有 的 Linux 主机 都 访问 同一 台 NIS 服务 器 请 求 用 户 数据 ， 这 可 
EX NIS 服务 器 负载 过 大 。 如 果 这 单独 的 一 台 NIS 服务 器 出 现 单 点 失效 ， 用 户 将 无 法 
登录 其 他 的 Linux 主机 。 所 以 ， 在 大 型 网 络 环境 中 ，NIS 服务 器 一 般 采 用 master/slave( 主 / 
从 服务 器 ) 架 构 。 主 NIS 服务 器 提供 系统 管理 员 制 作 的 数据 库 ， 而 从 NIS 服务 器 则 取得 来 自 
主 NIS 服务 器 的 数据 ， 并 提供 给 其 他 客户 端 查询 。 因 而 主 从 服务 器 的 用 户 数据 是 同步 的 。 
客户 端 可 以 向 整个 网 络 广播 用 户 数据 的 请 求 ， 主 从 NIS 服务 器 都 可 以 应 答 。 这 样 就 分 担 了 
NIS 服务 器 的 负载 ， 也 可 以 有 效 避 免 因 NIS 服务 器 单 点 失效 导致 的 用 户 无 法 登录 。 需 要 说 
明 的 是 ， 这 里 说 的 主 从 服务 器 尽管 也 称 为 master/slave 架构 ， 但 是 与 5.3.1 节 中 所 介绍 的 主 
从 架构 略 有 区 别 ， 主 NIS 服务 器 只 是 在 NIS 服务 方面 对 从 NIS 服务 器 有 控制 权 ， 实 际 上 ， 
从 NIS 服务 器 可 以 理解 为 主 NIS 服务 器 用 户 数据 的 备用 服务 器 。 第 7 章 “DNS 服务 器 的 配 
置 与 架设 ”将 要 讲述 的 主 从 DNS 服务 器 ， 也 可 以 将 从 DNS 服务 器 理解 为 主 DNS 服务 器 的 
备用 服务 器 。 
那么 NIS 服务 的 工作 过 程 就 包括 了 三 个 角色 : NIS 主 服务 器 端 ， 负 责 将 用 户 账 户 信息 
制 成 数据 库 ， 响 应 NIS 客户 端的 查询 请 求 ， 并 提供 给 从 服务 器 端 来 更 新 ，NIS 从 服务 器 端 ， 
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以 主 服务 器 端的 数据 库 为 自身 数据 库 来 源 ， 响 应 NIS 客户 端的 查询 请 求 ，NIS 客户 端 ， 向 
主 服 务 器 或 从 服务 器 请 求 登录 用 户 的 验证 数据 。 

整个 NIS 的 工作 流程 如 图 5-20 所 示 ， 具 体 描述 如 下 。 

NIS 服务 器 端 (master/slave) 的 工作 流程 : 

NIS 主 服务 器 端 先 将 所 有 系统 用 户 账号 密码 相关 信息 制作 成 数据 库 ; 

NIS 主 服务 器 端 可 主动 通知 NIS 从 服务 器 端 来 更 新 ， 即 以 “推送 (PUSH)” 的 方式 更 新 
NIS 从 服务 器 端的 数据 库 ; 

NIS 从 服务 器 也 可 主动 要 求 从 NIS. 主 服务 器 获取 数据 库 ， 即 以 “ 拉 (PULL)” 的 方式 更 
新 NIS 从 服务 器 端的 数据 库 ; 

账号 密码 有 变动 时 ， 需 要 重新 制作 数据 库 ， 并 使 主 从 服务 器 端 保持 同步 。 

NIS 客户 端的 工作 流程 : 

当 有 用 户 登录 NIS 客户 端 时 ， 首 先 查询 本 机 的 /etc/passwd、/etc/shadow 等 文件 ， 判 断 是 
否 是 本 机 的 系统 用 户 ; 

如 果 在 本 机 找 不 到 相关 的 账号 信息 ， 即 断定 该 登录 不 是 本 机 的 系统 用 户 ， 就 开始 向 整 
个 NIS 网 络 广播 查询 ， 判 断 是 否 是 NIS 用 户 ; 

台 NIS 服务 器 (master/slave) 都 可 以 响应 客户 端的 请 求 ， 先 响应 者 优先 。 


本 机 查询 不 到 ， 向 整个 
网 络 NIS Server 广 播 


5-20 NIS 工作 流程 图 


从 上 述 流程 可 以 看 出 , NIS 客户 端 是 先 对 本 机 上 的 账号 信息 进行 查询 ， 查 不 到 才 到 NIS 
服务 器 上 查询 。 因 此 ， 当 NIS 客户 端 本 身 就 有 很 多 一 般 用 户 的 账号 时 ， 就 可 能 会 跟 NIS 服 
务 器 提供 的 账号 产生 一 定 程度 的 差异 。 所 以 ， 一 般 在 这 种 情况 下 NIS 客户 端 或 NIS 从 服务 
器 会 主动 删除 本 机 自身 的 一 般 用 户 账号 ， 仅 保留 系统 所 需 的 root 及 少量 其 他 账号 。 这 样 ， 
一 般 用 户 就 都 可 以 由 NIS 服务 器 进行 控制 了 。 
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5.5 NIS 服务 的 配置 


应 用 实例 导航 一 一 架设 主 从 NIS 服务 器 


※ 场 景 呈现 


A 公司 需要 架设 NIS 服务 器 ， 为 了 均衡 查询 负载 并 


主 从 结构 ， 即 有 一 个 主 服 务 器 和 一 个 从 服务 器 ， 它 们 之 
据 库 同步 。 


Ff 避免 单 点 失效 ，NIS 服务 器 采用 了 
间 使 用 推送 PUSH) 方式 保持 NIS 数 


网 络 拓扑 如 图 5-21 所 示 。NIS 域名 为 job， 主 服务 器 局 域 网 卫 为 192.168.10.1， 从 服务 
器 局 域 网 IP 为 192.168.10.2， 其 他 主机 都 为 NIS 客户 机 ， 卫 范围 为 192.168.10.3 一 


192.168.10.254。 


198.168.10.1 


198.168.10.2 
$ 


从 服务 器 主 服务 器 


198.168.10.3198. 
168.10.254 


Q 


NIS 客户 端 1 


Q 


NIS 客户 端 n 


5-21 NIS 服务 器 拓扑 结构 


XREN 


(1) 掌握 NIS 主 服 务 器 端的 配置 。 
(2) 掌握 NIS 从 服务 器 端的 配置 。 
(3) 掌握 NIS 客户 端的 配置 。 

(4) 掌握 如 何 测试 NIS 客户 端 。 


本 实例 中 NIS 采用 主 从 架构 ， 
本 节 从 NIS 3 
在 服务 器 端 配置 成 功 后 ， 方 可 对 NIS 客户 端 进行 配置 。 


因 


AAA 


E 从 两 个 服务 器 ， 所 以 服务 器 端 需要 配置 两 次 。 
E 服 务 器 端的 配置 工作 开始 讲 起 ，NIS 从 服务 器 端的 配置 与 主 服 务 器 端 类 似 。 
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5.5.1 NIS 主 服务 器 端的 配置 


NIS 拓扑 中 包含 了 三 类 不 同 功能 的 主机 : 主 服 务 器 (master)、 从 服务 器 (slave) 以 及 客户 
端 (client)。 本 节 介 绍 NIS 主 服务 器 端 主机 的 相关 配置 。 
Q 由 于 NIS 服务 是 在 某 个 域内 工作 的 ， 因 此 首先 要 设 定 NIS 服务 的 域名 ， 域 名 的 设置 要 与 
letc/hosts 文件 中 的 设 定 一 致 。 设 定 域名 可 以 使 用 nisdomainname 或 ypdomainname 两 个 命令 
实现 ， 命 令 用 法 分 列 于 下 。 


nisdomainname job 

或 

Ypdomainname job 

以 上 两 条 命令 都 是 将 NIS 服务 的 域名 设 为 job， 并且 与 /ete/hosts 中 的 一 致 ， 如 图 5-22 所 示 。 
另外 , nisdomainname 或 ypdomainname 如 果 后 面 不 带 参数 , 则 显示 已 经 设 定好 的 域名 . Linux 


系统 启动 时 会 自动 执行 rc.local 中 的 所 有 命令 ， 所 以 将 ypdomainname job 命令 写 入 系统 的 
letc/rc.local 文件 ， 这 样 系统 启动 时 就 会 自动 设 定 NIS 的 域名 ， 如 图 5-23 所 示 


lomainname jok 
sdomainname 


图 5-22 设 定 NIS 域名 


m initi 


图 5-23 开机 后 即 设 定 NIS 域名 


© /etc/ypserv.conf 文件 是 NIS 服务 器 的 主要 设 定 文件 ,大 部 分 选项 都 采用 默认 , 其 他 稍 作 改 动 
即 可 ， 配 置 如 图 5-24 所 示 。 解 释 如 下 : 


dns: no 
NIS 服务 只 在 局 域 网 范围 内 使 用 ， 因 此 不 需要 DNS 服务 。 


files: 30 
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NIS 服务 器 存储 的 账号 档案 的 个 数 ，30 个 账号 已 经 足够 。 


slp: no 


slp timeout: 3600 


设 定 SLP 有 关 的 选项 ， 通 常设 为 no， 即 不 启动 SLP 服务 


xft check port: yes 


设 定 主 服务 器 与 从 服务 器 之 间 同 步 更 新 账号 信息 库 所 使 用 的 端口 ， 此 端口 通常 设置 在 小 于 
1024 号 的 端口 范围 内 。 


127.0.0.0/255.255.255.0 :*: *: none 

192.168.10.0/255.255.255.0 : *: *: none 

* :*: *: deny 

这 项 是 限定 从 服务 器 端 和 客户 端的 网 络 范围 ， 从 而 建立 可 信任 范围 。 第 一 句 说 明 开放 内 部 
网 卡 ，none 表示 没有 限制 ; 第 二 名 说 明 对 局 域 网 内 所 有 主机 都 开放 ; 第 三 名 说明 对 其 他 任 
何 外 部 IP 地 址 都 拒 


= ign 


y map file han 


图 5-24 /etc/ypserv.conf 的 设置 


© 设 定好 /etc/ypserv.conf 文件 后 ， 就 可 以 启动 NIS. 主 服务 器 端的 服务 了 ， 包 括 三 个 服务 : 
portmap. ypserv 和 yppasswdd， 如 图 5-25 所 示 。portmap 在 NFS 部 分 就 曾 讲述 过 ， 它 是 负 
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责 RPC 的 服务 ; ypserv 是 NIS 服务 器 端的 主要 服务 ; yppasswdd 提供 NIS 客户 端 使 用 者 的 
密码 修改 服务 ， 启 动 这 个 服务 后 ，NIS 客户 端 可 以 修改 NIS 服务 器 端的 密码 。 


图 5-25 AZ NIS 主 服 务 器 端 服务 


如 果 要 检查 NIS 的 进程 是 否 正常 启动 ， 使 用 下 面 两 条 命令 

rpcinfo -p localhost | grep yp 

rpcinfo -u localhost ypserv 

第 一 条 命令 是 查看 本 机 与 yp 相关 的 Ipe 进程 ， 结 果 如 图 5-26 所 示 ， 可 以 看 到 yppasswdd、 
ypserv 和 nd 进程 都 已 经 启动 


图 5-26 ”检查 NIS 是 否 正常 启动 


第 二 条 命令 是 查看 ypserv 进程 是 否 侦 | 结果 如 图 527 所 示 只 有 看 到 与 图 5-26 和 图 5-27 
两 幅 图 相同 的 结果 ， 才 表示 N NERA 正常 启动 了 


5-27 ”查看 ypserv 进程 是 否 开 始 侦 听 


o 成 功 启动 NIS 相关 服务 后 ， 进 入 /var/yp 目录 ， 执 行 make 命令 刷新 NIS 数据 库 信 息 
图 5-28 所 示 ， 表 示 passwd, group 和 hosts 以 及 netid 等 信息 都 已 更 新 ， 使 用 到 的 命令 如 下 : 


cd /var/yp 
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make 


图 5-28 更 新 NIS 数据 库 


外 点 评 与 拓展 : 每 次 对 /etc/ypserv.conf 以 及 其 他 配置 文件 修改 后 ， 都 需要 执行 make 
命令 使 设置 生效 。 


5.5.2 NIS 从 服务 器 端的 配置 


NIS 的 从 服务 器 作为 主 服务 器 的 备份 服务 器 , 提供 与 主 服 务 器 一 样 响应 用 户 账号 查询 的 
功能 。 在 一 个 比较 大 范围 的 局 域 网 中 ， p 需要 架设 几 个 从 服务 器 以 防止 主 服务 器 单 点 失 
效 ， 并 分 担 一 部 分 用 户 账 号 查询 的 负载 ， 以 避免 主 服 务 器 负载 过 重 。 本 节 介 绍 如 何 配 
从 服务 器 ， 如 果 读 者 所 要 配置 的 NIS A 器 ， 则 可 以 跳 过 此 isi j 
o ERA BOR var /yp/Makefile 文件 中 的 NOPUSH 项 设 定 了 主 从 服务 器 之 间 传 ; 的 方式 

如 果 将 NOPUSH 设 为 false, 则 主 服 务 器 允许 将 NIS 数据 库 推 送 到 从 服务 器 上 ， 这 种 方式 较 

好 地 维持 了 主 从 服务 器 的 数据 同步 ， 因 此 通常 将 NOPUSH 设 为 false， 如 图 5-29 所 示 


zi Mak: 


# Makefile for the 


f a domain 


图 5-29 主 服务 器 的 Makefile 设 定 
提 及 推送 方式 PUSH)， 与 之 相对 应 的 是 拖 搜 方式 PULL)， 它 们 是 互联 网 领域 的 两 个 重要 的 


动向 服务 器 端 发 送 请 求 以 获取 所 需要 的 信息 ， 推 送 方式 是 指 服 


概念 。 拖 搜 方式 指 客户 
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务 器 端 主动 将 信息 发 送 到 客户 端 ， 而 无 需 由 客户 端 发 送 请 求 。 例 如 ， 用 户 需 要 及 时 了 解 天 
气 情 况 信 息 ， 他 可 以 登录 到 气象 台 的 网 站 去 查获 ， 这 就 是 以 拖 搜 方式 的 获得 天 气 情况 信息 ， 
也 可 以 由 气象 台 的 网 站 主动 发 E-mail 或 以 其 他 方式 告知 用 户 ， 这 就 是 推送 方式 使 得 用 户 获 
得 天 气 情况 信息 。 传 统 互联 网 以 拖 搜 方式 为 主 ， 新 一 代 互 联网 则 有 向 推送 方式 传送 信息 发 
展 的 趋势 。 

O 那么 主 服务 器 是 怎么 规定 局 域 网 内 有 哪些 从 服务 器 的 呢 ? /var/yp/ypservers 文件 设 定 了 所 有 
的 NIS 服务 器 ， 在 ypservers 中 加 上 图 5-30 中 划 线 的 一 行 ， 说 明 主 机 名 为 node2ib job 的 这 
台 主 机 是 NIS 的 从 服务 器 。 


图 5-30 主 服务 器 ypservers 的 设 定 


© 从 服务 器 本 质 上 是 NIS 服务 器 端 ， 因 此 从 服务 器 端的 设 定 与 主 服务 器 端的 设置 类 似 。 首 先 
也 是 设 定 NIS 域名 ， 这 个 域名 必须 与 主 服务 器 端 一 致 ， 这 里 为 job， 如 图 5-31 所 示 。 首 先 
ssh 远程 登录 node2ib 这 合 主机 ， 将 它 的 NIS 域名 设 为 job， 并 且 同 样 在 /etc/rc.local 中 添加 

统 重启 就 会 将 NIS 域名 设 为 job。 


domainname job， 今 其 


ps] 


5-31 ”从 服务 器 端 NIS 域名 的 设 定 


Q 接着 在 saei 这 全 主机 上 ， 依照 5.5.1 NIS 主 服务 器 端的 配置 ”中 的 步骤 四 设 定 
/etc/ypserv.conf 文件 ， 该 文件 与 主 服务 器 设 定 不 同 的 是 ， 需 要 设 定 trusted_master 设 定 项 ， 
该 项 指定 从 哪 台 信任 的 主 NIS 服务 器 获取 数据 库 信 息 。 本 例 设 为 nodelib 即 上 节 所 设置 的 主 
NIS 服务 器 的 主机 名 。 从 服务 器 端 启 动 与 主 服务 器 端 不 同 ， 它 只 要 启动 portmap 和 ypserv 
服务 ,原因 在 于 从 服务 器 的 NIS 数据 库 是 由 主 服 务 器 端 推 送 过 来 的 ， 因 此 不 提供 NIS 客户 
端 修改 密码 的 功能 ， 所 以 无 需 启 动 Yppasswdd 服务 。 从 服务 器 的 其 他 配置 和 启动 步骤 在 此 

不 再 教 述 ， 读 者 可 参照 5.5.1758 "NIS 主 服务 器 端的 配置 ”完成 。 


第 5 章 NFS 和 NIS 服务 器 的 配置 与 应 用 


图 5-32 从 服务 器 ypservers 的 设 定 


的 点 评 与 拓展 : 从 服务 器 本 质 上 还 是 服务 器 端 ， 因 此 配置 这 类 从 服务 器 通常 包含 两 
步 ， 首 先是 主 服务 器 开放 从 服务 器 功能 ， 其 次 是 从 服务 器 进 和 于 类 似 于 主 服 务 器 的 配置 。 


5.5.3 NIS 客户 端的 配置 


当 有 用 户 登录 NIS 客户 端 主机 而 本 地 查询 不 到 用 户 信息 时 ,NIS 客户 端 就 自动 连接 NFS 
EE 查询 是 否 有 该 用 户 。 连 接 NFS 服务 器 的 进程 叫做 ypbind 进程 ，NIS 客户 端的 设 定 
主要 就 是 ypbind 的 设 定 ; 另外 NIS 客户 端 还 提供 负责 查询 功能 的 套件 , 叫做 yp-tools。 下 面 


介绍 如 何 配置 NIS 客户 端 。 
O 首先 当然 是 设置 NIS 的 域名 ， 与 月 VA NIS 域名 要 一 致 ， 按 照 同 样 的 步骤 ， 先 使 用 
ypdomainname 命令 设 定 域名 ， 然 后 写 入 /etc/rc.local 文件 ， 让 系统 启动 后 会 自动 运行 这 个 命 


令 ， 如 图 5-33 所 示 


图 5-33 ” 设 定 客户 端的 NIS 域名 


另外 ， 客 户 端的 /etc/hosts 人 要 有 NIS 域内 其 他 主机 IP 与 主机 名 的 对 应 项 ， 如 图 5-34 
标注 部 分 ， 就 是 NIS 服务 器 的 IP 与 主机 名 的 对 应 项 


图 5-34 ”客户 端的 /etc/hosts 文件 
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© 接着 需要 对 /etc/nsswitch.conf 文件 进行 配置 ， 该 文件 规定 了 Linux 系统 使 用 各 种 服务 时 对 应 
的 数据 库 及 这 些 数 据 库 的 搜索 顺序 。 这 个 设 定 文件 功能 很 强大 ， 也 很 复杂 ， 不 过 我 们 只 需 
修改 NIS 客户 端 经 常 查询 的 passwd. shadow. group 和 hosts 这 四 个 服务 就 可 以 了 。 在 这 四 
个 服务 后 我 们 需要 添加 上 nis 这 项 。 为 了 提高 查询 效率 ， 通 常 将 nis 数据 库 写 在 这 四 个 服务 
的 第 一 位 ， 如 图 5-35 所 示 。 


图 5-35 Jetc/nsswitch.conf 文件 设 定 
e 接 下 来 是 修改 /etc/sysconfig/authconfig 文件 ， 只 要 将 这 个 文件 的 USENIS 选项 设 定 为 yes Bl 
可 ， 如 图 5-36 所 示 . 


5-36 Jetc/sysconfig/authconfig 文件 的 设 定 


o 然后 需要 在 /etc/pam.d/system-auth 文件 中 添加 nis 一 项 ， 这 里 在 PAM 设 定 栏 后 添加 NIS 服 
务 ， 找 到 图 5-37 中 标注 的 那 一 行 ， 在 这 行 的 最 后 添加 nis 即 可 。 

O 以 上 几 个 配置 文件 使 系统 在 各 方面 对 NIS 进行 了 支持 ， 但 是 NIS 客户 端的 主要 设 定 文件 是 
/etc/yp.conf， 需 要 在 这 个 文件 里 正确 设 定 域名 和 域内 的 NIS 服务 器 ， 添 加 如 图 5-38 标注 的 
两 句 话 。 第 二 句 domain NISDOMAIN broadcast 的 意思 是 是 否 采 用 广播 的 方式 查询 NIS 数据 
库 ， 当 域内 有 多 人 台 NIS 服务 器 即 采 用 主 从 服务 器 机 制 时 ， 就 需要 采用 广播 方式 ， 这 样 所 有 
的 NIS 服务 器 才 都 会 收 到 客户 端的 查询 请 求 。 
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100 quiet 


图 5-37 /etc/pam.d/system-auth 文件 的 设 定 


重 过 以 上 几 步 的 配置 工作 ， 就 可 以 启动 ypbind 服务 了 ，ypbind 服务 也 是 基于 RPC 机 制 的 ， 
因此 需要 先 启动 portmap 服务 ， 如 图 5-39 所 示 .。 


© 


后 点 评 与 拓展 : NIS 的 客户 端 设 定 看 起 来 比较 复杂 ， 但 是 系统 设 定 的 三 个 文件 : 
nsswitch.conf, authconfig 和 system-auth， 都 只 需要 添加 上 NIS 服务 相 关 项 ， 实 际 上 是 非常 


简单 的 。 


OMAIN. 


vain NISDOMAIN 


图 5-39 ”启动 ypbind 服务 


5.5.4 NIS 服务 客户 端的 检验 

NIS 服务 还 提供 了 客户 端的 检验 工具 ， 这 些 工 具 包 括 yptest、ypwhich 和 ypcat， 本 节 将 
分 别 对 其 作 简 单 的 介绍 。 

yptest 检验 NIS 设 定 的 所 有 参数 ， 部 分 测试 结果 如 图 5-40 所 示 。 测 试 的 第 3 步 ， 通 常 
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会 出 现在 passwd.byname 中 找 不 到 nobody 字样 的 情况 ， 这 是 因为 早期 Linux 系统 将 nobody 


用 户 的 UID 设 为 了 65534， 而 Red Hat 和 Fedora 6.0 则 将 nobody 用 户 的 UID 设 为 了 99， 因 
此 才 出 现 了 这 样 的 警告 ， 不 过 这 个 警告 不 会 影响 NIS 服务 。 最 关键 的 测试 在 第 9 步 ， 它 测 
试 了 所 有 的 NIS 账号 ， 如 果 第 9 步 能 够 列 出 NIS 服务 器 上 的 所 有 账户 ， 表 示 检 验 成 功 ， 如 
图 5-41 所 示 。 


图 5-40 yptest 命令 


图 5-41 yptest 第 9 步 的 测试 结果 


功能 , 带 上 -x 参数 显示 NIS 


ypwhich 命令 提供 了 对 NIS 服务 器 数据 库 名 称 和 数量 的 


客户 端 需要 与 服务 器 端 交互 的 数据 库 有 哪些 ， 如 图 5-42 所 示 。 


图 5-42 ypwhich 命令 


ypcat 命令 提供 读 取 上 述 列 出 的 NIS 数据 库 的 内 容 ， 命 令 格式 如 下 : 


ypcat [-h NIS 服务 器 名 称 ] [数据 库 名 称 ] 


图 5-43 显示 了 使 用 ypcat 命 令 读 取 到 本 地 passwd.byname 和 了 hosts.byname 两 个 数据 库 的 
内 容 ,可 以 看 到 保存 密码 的 passwd.byname 内 容 是 用 户 账号 名 和 加 密 的 密码 , 而 hosts.byname 
中 存放 了 NIS 服务 器 的 和 主机 名 。 
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的 点 评 与 拓展 :Linux 系统 提供 的 这 三 条 命令 可 以 全 面 检验 NIS 服务 器 端 是 否 正常 工 
作 ，yptest 提供 的 是 设 定 参 数 的 检验 ，ypwhich 用 于 检验 NIS 数据 库 ，ypcat 可 以 具体 查看 数 
据 库 的 内 容 。 


5.6 结合 NFS 和 NIS 管理 系统 用 户 


应 用 实例 导航 一 一 统一 管理 主 从 架构 网 络 中 的 账户 


XB EG 


让 我 们 回 到 某 机 构 所 购置 的 高 性 能 计算 设备 上 ， 该 机 构 发 现 32 个 紧 耦 合 的 从 计算 结 点 
不 仅 需 要 具备 同样 的 文件 系统 ， 也 需要 具有 相同 的 系统 用 户 。 也 就 是 说 ， 在 主 控 结 点 能 够 
成 功 登录 的 用 户 ， 能 够 直接 登录 到 所 有 的 从 计算 结 点 上 去 ， 而 不 需要 通过 额外 的 创建 用 户 
操作 。 网 络 拓扑 依然 如 图 5-14 所 示 。 

请 网 络 管理 员 利 用 结合 NFS 和 NIS 方面 的 知识 ， 实 现 系 统 用 户 的 统一 管理 ， 而 且 每 个 
系统 用 户 在 所 有 结 点 具有 同样 的 根 目录 。 
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(1) 利用 NES 挂 载 系统 用 户 根 目录 。 
(2) 利用 NIS 统一 管理 系统 用 户 。 


配置 和 启动 好 服务 器 和 客户 端的 NIS 服务 后 ， 本 节 结 合 NFS 和 NIS s 管理 用 户 
账号 , 以 说 明 NFS 和 NIS 大 规模 网 络 服务 器 管理 上 的 优势 。 在 5.3.1 节 “ me F NFS 
REA 所 介绍 的 主 从 架构 的 拓扑 结构 中 ， 主 结 点 对 从 结 点 具有 控 其 中 包括 对 

户 账户 的 控制 ， 也 就 是 说 在 主 结 点 上 所 创建 的 用 户 能 够 以 同样 的 目录 、 同 样 的 权限 在 从 

点 上 使 用 ，NEFS 和 NIS 的 结合 为 这 种 由 户 管理 方式 提供 了 一 种 简明 的 解决 方案 ， 那 就 是 
dn è NFS 挂 载 统一 的 用 户 目录 ， 利 用 NIS 统一 地 创建 用 户 数据 库 。 下 面 介 绍 这 种 方案 的 配 
置 及 其 效果 。 

Q 52.1 节 “NFS 服务 器 端的 配置 ”中 所 配置 的 /etc/exports 文件 中 有 一 行为 : 


Im 


/home/users 192.168.10.0/255.255.255.0 (rw,insecure,no root squash,asyn c) 
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它 表示 将 /home/users 目录 设 为 局 域 网 内 可 读 可 写 的 共享 目录 ， 而 这 个 目录 就 是 为 NIS 准备 
的 ， 这 里 面 存放 了 所 有 NIS 服务 器 上 用 来 创建 用 户 的 根 目 录 。 
© 首先 将 /home/users 目录 挂 载 到 从 结 点 上 ， 如 图 5-44 中 第 一 条 横 线 的 标注 部 分 所 示 ， 所 使 用 
的 挂 载 命 令 已 在 5.2.2 NFS 客户 端的 配置 和 测试 ”中 介绍 过 。 


图 5-44 ” 挂 载 /home/users 目录 并 创建 新 用 户 


接着 可 以 在 主 控 结 点 上 ， 即 NIS 服务 器 端 ， 创 建 nistest 用 户 ， 并 修改 其 密码 ， 如 图 5-44 所 
示 。 两 条 命令 解释 如 下 : 

useradd nistest -d /home/users/nistest 

useradd X adduser 命令 是 系统 创建 用 户 的 命令 ，-d 参数 后 附带 了 该 用 户 的 根 目 录 ， 如 果 不 
带 -d 参数 ,用 户 默认 的 根 目录 将 是 /home/nistest。 这 里 我 们 需要 将 其 放 到 共享 目录 /home/users 
TE. 
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， 以 后 所 有 创建 的 系统 用 户 不 能 默认 将 其 根 目 录 设 在 /home 下 将 导致 从 结 点 无 
Ee; 必须 通过 -d 参数 将 根 目录 设 在 /home/users 下 ， 以 便 所 有 结 点 都 能 通过 NFS 共享 


目录 访问 。 


passwd nistest 


这 条 命令 是 为 nistest 修 改 密码 用 的 ， 只 有 root 用 户 才 有 权限 执行 此 命令 。 

e NIS 服务 启动 后 ， 就 可 以 尝试 使 用 nistest 这 个 用 户 登 录 node3ib 这 个 从 结 点 ， 如 图 5-45 所 
示 ， 正 确 输 入 密码 后 成 功 登 录 ， 并 进入 默认 的 /home/users/nistest 目录 。 这 说 明 node3ib 这 个 
结 点 上 本 来 没有 的 用 户 nistest, 可 以 通过 NIS 系统 在 服务 器 端 被 查询 到 , 并 且 根 目 录 被 NFS 


成 功 设 为 /home/users/nistest 这 


图 5-45 ”使 用 nistest 用 户 登录 node3ib 主机 


o nistest 用 户 登 录 任 何 从 结 点 后 ， 在 /home/user/nistest 这 个 根 目录 下 具有 管理 员 权 限 ， 可 以 创 
建 和 删除 目录 及 文件 ， 并 且 所 创建 的 目录 将 被 其 他 所 有 主机 上 的 nistest 所 访问 。 使 用 mkdir 


* l18* 


第 5 章 NFS 和 NIS 服务 器 的 配置 与 应 用 


命令 在 node2ib 这 个 结 点 上 创建 一 个 名 为 alllnow 的 目录 ,如 图 5-46 所 示 。 然后 登录 主 控 结 
点 ， 列 出 /home/user/nistest 后 ， 可 以 发 现在 主 控 结 点 依然 可 以 看 到 刚才 所 创建 的 allknow El 
录 ， 如 图 5-47 所 示 。 


mkdir allkno 


图 5-47 任意 台 主机 都 能 列 出 所 创建 的 目录 


的 点 评 与 拓展 : 这 个 例子 看 起 来 很 简单 ， 但 它 建立 在 对 NFS 和 NIS 服务 全 面 掌 握 的 
基础 上 ， 也 是 当今 集群 系统 管理 系统 用 户 的 普遍 方案 ， 值 得 读者 悉心 体会 。 


5.7 本 章 小 结 


本 章 主要 介绍 了 网 络 文件 系统 NFS 和 NIS 服务 的 相关 原理 及 安装 配置 方法 。 读 者 需要 
: 意 的 是 , NFS 虽 是 一 个 网 络 文件 共享 协议 , 但 并 没有 提供 数据 传输 功能 ， 而 是 借助 RPC( 远 
旦 调用 ) 机 制 来 实现 数据 传输 。 本 章 还 特别 介绍 了 主 从 架构 下 的 NFS 服务 ， 这 是 一 般 同 
参考 书 中 所 没有 的 , 主要 是 考虑 到 主 从 结构 在 实际 应 用 中 越 来 越 广泛 Jed TF (cluster) 
系统 。NIS 服务 主要 应 用 于 具有 多 台 Linux 服务 器 的 大 型 网 络 ， 对 所 有 Linux 主机 的 用 户 账 
号 数据 进行 集中 统一 管理 , 提高 了 资源 利用 率 , 也 相应 节省 了 Linux 主机 的 硬盘 空间 。 最 后 ， 
读者 还 要 充分 认识 到 结合 NFS 和 NIS 对 系统 用 户 进行 管理 的 优越 性 。 
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DHCP(Dynamic Host Configuration ProtocoD)， 即 动态 主机 配置 协议 ， 主 要 用 于 简化 主机 
IP 地 址 的 分 配 管理 。DHCP 服务 器 可 以 自动 将 网 络 参数 (如 IP 地 址 、 子 网 掩 码 、 默 认 网 关 、 
DNS 地 址 等 ) 正 确 地 分 配给 网 络 中 的 每 台 计 算 机 ， 使 客户 端 计算 机 在 开机 时 就 自动 设 定 好 相 
关 网 络 参数 值 。 本 章 主 要 介绍 了 DHCP 服务 中 涉及 的 重要 概念 及 其 基本 工作 原理 。 重 点 介 
HT DHCP 服务 器 端 动态 IP 地 址 分 配 和 静态 IP 地 址 分 配 的 配置 方法 ， 最 后 介绍 Linux 和 
Windows 两 种 不 同 操作 系统 的 DHCP 客户 端 配置 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 内 容 : 
DHCP 的 工作 原理 
DHCP 服务 器 端 动态 IP. 地 址 分 配 的 配置 
DHCP 服务 器 端 静态 IP 地 址 分 配 的 配置 
DHCP 客户 端的 配置 
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6.1 DHCP 服务 概述 


6.1.1 DHCP 服务 简介 


DHCP 采用 Client/Server 模式 ， 安 装 了 DHCP 服务 软件 的 主机 就 是 DHCP 服务器， 而 
启用 了 DHCP 功能 的 主机 就 是 DHCP 客户 端 。 客户 端 启动 时 , 自动 和 DHCP 服务 器 端 通信 ， 
DHCP 服务 器 则 为 客户 端 自动 分 配 IP 地 址 。 

DHCP 服务 器 以 地 址 租约 的 方式 来 为 DHCP 客户 端 提供 服务 。DHCP 服务 器 分 配给 客 
户 端 的 他 类 型 主要 有 以 下 两 种 。 

分 ”固定 IP(static IP); 一 般 来 说 ， 只 要 客户 端 计 算 机 的 网 卡 不 换 ， 那 么 它 的 MAC( 传 

输 媒 体 访问 控制 ) 地 址 就 不 会 改变 。DHCP 服务 器 可 以 根据 MAC 地 址 来 分 配 固定 
的 IP 地址， 因此 该 客户 机 就 能 每 次 都 以 一 个 固定 的 IP 连接 上 Internet。 在 Linux 
上 可 以 使 用 ifconfig 及 arp 来 获取 本 机 MAC 地 址 。 
+ ZA IP (dynamic IP): 客户 端 每 次 连 上 DHCP 服务 器 所 取得 的 IP 地 址 都 不 是 固定 
的 ， 而 是 由 DHCP 服务 器 从 尚未 被 使 用 的 IP. 地 址 中 随机 选取 。 

需要 注意 的 是 ， 除 非 局 域 网 内 的 某 台 计算 机 有 可 能 用 作 一 些 网 络 服务 的 主机 ， 否 则 使 
用 动态 IP 的 设 定 比 较 简 单 ， 而 且 使 用 上 具有 较 好 弹性 。 

DHCP 的 优点 是 “ 免 客 户 端 设 定 ” 非常 方便 移动 上 网 。 架设 DHO 服务 器 的 最 佳 场合 
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是 使 用 较 多 的 移动 设备 的 场合 ， 例 如 ， 某 公司 内 部 有 很 多 使 用 笔记 本 电脑 的 地 方 (笔记 本 电 
脑 是 典型 的 移动 设备 )， 如 果 每 到 一 处 都 要 重新 设 定 网 络 参数 ， 还 要 担心 是 否 会 与 别人 的 IP 
地 址 相 冲突 ， 显 然 十 分 麻烦 ， 这 时 候 DHCP 是 最 好 的 解决 办 法 。 或 者 是 网 络 上 计算 机 数量 
相当 多 的 场合 ， 当 一 个 网 络 内 计算 机 数量 相当 庞大 时 ， 难 以 一 个 一 个 来 设 定 它们 的 网 络 参 
数 ， 这 时 候 为 节省 时 间 和 减少 麻烦 ， 架 设 DHCP 是 非常 方便 的 措施 。 


6.1.2. DHCP 工作 原理 


DHCP 通常 是 局 域 网 内 的 一 个 通信 协议 。DHCP 服务 器 与 客户 端 在 同一 个 局 域 网 内 , 先 

由 客户 端 向 整个 局 域 网 内 的 所 有 主机 广播 DHCP 请 求 信息 ， 当 网 络 中 有 DHCP 主机 时 ， 才 

会 响应 客户 端的 他 参数 请 求 。 如 图 6-1 所 示 ， 客 户 端 取得 卫 参数 的 过 程 如 下 。 

Q 客户 端 发 送 DHCP ÑR 
如 果 客 户 端 设 定 使 用 DHCP 取得 耳 ， 则 当 客户 端 开 机 或 者 是 重启 网 卡 时 ， 客 户 端 主机 会 发 
送 DHCP 请 求 给 局 域 网 内 的 所 有 计算 机 。DHCP 请 求 信 息 的 目标 他 是 255.255.255.255, 普 
通 主机 接收 到 这 个 请 求 后 会 直接 予以 丢弃 。 

Q DHCP 主机 响应 请 求 
DHCP 主机 在 接收 到 客户 端的 请 求 后 ,会 根据 客户 端的 硬件 地 址 (MAC) 与 本 身 的 设 定数 据 来 
进行 下 列 工作 : DE| DHCP 服务 器 的 登录 文件 中 查询 该 用 户 是 否 曾 经 用 过 某 个 全， 如 果 是 
且 该 卫 目前 无 人 使 用 ， 则 提供 该 P 给 客户 端 ; @ 如 果 服 务 器 已 经 设 定 对 该 MAC 地 址 提供 
固定 IP 时 ， 则 提供 设 定 的 固定 IP; @ 如 果 不 符合 前 述 任 一 条 件 ， 则 随机 选取 目前 没有 被 使 
Hi IP 给 用 户 ， 并 记录 下 来 。 

此 外 ，DHCP 服务 器 还 会 提供 一 个 租约 时 间 给 客户 端 ， 并 等 待 客户 端的 响应 。 

图 客户 端 接受 本 次 取得 的 他 并 开始 设 定 本 身 的 网 络 环境 , 包括 改写 /etc/resolv.conf 等 ; FEL 
会 向 DHCP 服务 器 发 送 一 个 确认 信息 ， 确 认 该 参数 已 被 接受 。 

Q DHCP 服务 器 记录 该 次 租约 行为 ， 回 送 应 答 确认 
客户 端 发 送 确认 信息 建立 租约 行为 后 ， 该 次 租约 会 被 记录 到 服务 器 的 登录 文件 上 ， 并 且 开 
始 租约 计时 。 同 时 ， 会 以 广播 方式 发 送 一 个 应 答 信息 给 DHCP 客户 端 ， 客 户 端 收 到 应 答 信 
息 后 ， 就 完成 了 获得 P 地 址 的 整个 过 程 。 


DHCP 客 户 端 DHCP 服 务 器 端 
1. 发 送 DHCP 请 求 


2.DHCP 主 机 响应 请 求 


3. 发 送 确 认 信 息 


S 4. 回 送 应 答 确认 


6-1 DHCP 工作 流程 


“12ls 


m Linux 服务 器 架设 与 管理 加 


以 上 就 是 DHCP 协议 在 Server 端 与 Client 端的 工作 流程 。 从 上 述 工 作 流程 看 ， 只 要 


Server 端 设 定 没有 问题 ， 且 Server 与 Client fi 


接 通过 Server 来 取得 网 络 参 数 。 


E 硬 件 联机 上 也 没 问题 ， 那 么 Client 就 可 以 直 


6.2 DHCP 服务 器 端的 配置 


应 用 实例 导航 


SOR EG 


和 A 公司 DHCP 服务 器 的 架设 


A 公司 需要 在 内 部 局 域 网 架设 DHCP 服务 器 ， 局 域 网 段 为 172.18.12.1 一 172.18.12.255。 


DHCP 服务 器 将 动态 分 配 的 IP 地 址 范围 


限制 在 172.18.12.220 一 172.18.12.240 之 内 ， 其 他 IP 


地 址 保留 下 来 ， 路 由 设 为 172.18.12.129; DNS 服务 器 设 为 202.119.24.12。 网 络 拓扑 图 如 


6-2 所 示 。 


另外 ，DHCP 分 配 的 了 的 预 设 租约 期 是 10 万 秒 ， 最 长 为 20 万 秒 。 


DHCP 服 务 器 


路 由 器 


ES 


DNS 服务 器 
202.119.24.12 


6-2 DHCP 服务 器 拓扑 图 
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(1) DHCP 服务 器 的 安装 。 
(2) DHCP 服务 器 端的 配置 。 


(3) DHCP 服务 器 端的 启动 和 测试 。 


^ 
|: 
LAN 
172.18.12.0 


172.18.12.129 -— 
Sm KA 


DHCP 服务 器 为 局 域 网 内 的 3 
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E 机 动态 分 配 IP. EAEN 


FE 动 配置 ， 方 便 了 局 域 网 的 


四 第 6 章 ，DHCP 服务 器 的 配置 与 架设 s 
管理 和 用 户 的 使 用 。 本 节 介 绍 DHCP 服务 器 端的 配置 方法 ， 首 先 介 绍 Linux 系统 下 DHCP 
软件 所 包括 的 一 些 组 件 , 使 读者 对 DHCP 有 整体 上 的 了 解 ; 然后 介绍 DHCP 服务 器 的 配置 ， 
以 满足 场景 显现 中 的 要 求 ， 最 后 介绍 如 何 启动 DHCP 服务 器 以 及 如 何 测 试 DHCP 服务 器 是 
否 成 功 启动 。 


6.2.1 DHCP 软件 结构 简介 


DHCP 软件 方面 的 要 求 很 简单 ， 只 需 服 务 器 端 软件 dhcp。dhcp 是 DHCP 服务 器 的 主要 
设 定 文件 、 启 动 脚本 和 执行 文件 ， 而 且 我 们 只 需要 这 一 个 软件 即 可 。 安 装 方式 上 可 以 直接 
使 用 原版 光盘 rpm 来 安装 。 整 个 软件 的 结构 分 以 下 三 个 部 分 。 
令 /etc/dhcpd.conf 
这 是 dhep 服务 器 的 主要 设 定 文件 。 在 某 些 Linux 版 本 上 这 个 文件 可 能 不 存在 , 因 
此 ， 如 果 已 经 安装 了 dhcp 软件 却 找 不 到 这 个 文件 ， 手 动 自行 建立 即 可 。 该 文件 的 
设 定 很 简单 ， 设 定 文件 的 实际 位 置 时 需要 参考 letc/initd/dhepd 的 规范 。 
*  lusr/sbin/dhcpd 
这 是 启动 整个 dhcp daemon 的 执行 文件 。 最 详细 的 执行 方式 可 以 查阅 man dhepd. 
+ /var/lib/dhcp/dhcpd.leases 
该 文件 用 于 记录 DHCP 服务 器 端 与 客户 端 租约 建立 的 起 论 日 期 ， 租 约 期 限 由 DHCP 服 
务 器 所 指定 ， 规 定 了 客户 端 从 DHCP 服务 器 获得 的 他 地址 的 可 使 用 时 间 长 度 。 如 果 客 户 端 
在 租约 到 期 前 ， 尚 未 更 新 租约 ， 则 DHCP 服务 器 将 会 收回 分 配给 该 客户 端的 了 P 地 址 。 


6.2.2 DHCP 服务 器 端的 配置 


有 了 对 DHCP 软件 的 大 概 了 解 后 ， 我 们 就 开始 介绍 DHCP 服务 器 的 安装 和 配置 ， 具 体 

根据 下 面 的 步骤 。 

@ Fedora 60 没有 默认 安装 DHCP 服务 ， 需 要 手动 安装 ; 在 Fedora 6.0 的 安装 光盘 或 者 本 书 附 
带 光盘 中 获得 DHCP 的 rpm 安装 包 ， 名 为 dhep-3.0.4-21.fc6.i386.tpm。rpm 包 的 通常 安装 方 
法 是 输入 tpm-i name.rpm 进行 安装 ， 但 是 对 于 DHO 的 安装 包 ， 这 种 安装 方式 将 报错 ， 错 
误 类 型 为 warming: dhep-3.0.4-21.fcó.src.rpm: Header V3 DSA signature: NOKEY, key ID 
4f2a6fd2， 如 图 6-3 所 示 。 这 种 错误 也 是 安装 rpm 包 时 经 常会 碰 到 的 错误 之 一 ， 这 时 就 要 使 
用 下 面 命令 安装 ， 如 图 6-4 所 示 。 


rpm -ivh dhcp-3.0.4-21.fc6.i1386.rpm -force -nodeps 


图 6-3 安装 DHCP 出 错 
可 以 使 用 下 面 命 令 查看 DHCP 服务 是 否 安装 成 功 : 


rpm -qa | grep dhcp 
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结果 如 图 6-5 所 示 ，dhcp-3.0.4-21.fe6 就 是 刚才 所 安装 的 DHCP 服务 。 


图 6-5 检查 DHCP 是 否 成 功 安装 
Q 从 DHCP 软件 结构 简介 中 知道 ， 它 的 最 主要 的 配置 文件 为 /etc/dhcpd.conf， 这 个 文件 没有 默 
认 设 置 ， 需 要 手动 创建 ， 添 加 如 图 6-6 所 示 的 内 容 。 该 配置 文件 “#” 号 开头 的 为 注释 行 ， 
每 行 以 分 号 结束 。 


6-6 /etc/dhcpd.conf 设置 


部 分 是 DHCP 的 整体 环境 设 定 ， 逐 行 解释 如 下 : 


ddns-update-style none; 


不 需要 更 新 DDNS 的 设 


default-lease-time 100000; 
分 配 IP 的 预 设 有 效 期 为 10 万 秒 。 
max-lease-time 200000; 

分 配 下 的 最 大 有 效 期 为 20 万 秒 


option routers 172.18.12.129; 
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路 由 地 址 为 172.18.12.129。 
option broadcast-address 172.18.12.255; 
设置 了 广播 地 址 ， 以 此 地 址 发 瑟 包 ， 局 域 网 内 所 有 主机 都 能 收 到 。 
option domain-name-servers 202.119.24.12; 
设置 了 DNS 服务 器 的 他 地 址 ， 如 果 有 多 个 DNS 服务 器 地 址 ， 则 多 个 卫 地址 间 用 “,” 隔 开 。 
第 二 段 标注 部 分 是 设 定 动态 分 配 IP 的 ， 详 细 解 释 如 下 : 


subnet 172.18.12.0 netmask 255.255.255.0 { 
range 172.18.12.200 172.18.12.240; 


这 两 行 的 设置 至 关 重 要 ， 必 须 两 行 匹配 。 第 一 行 设 定 了 子 网 号 和 子 网 掩 码 ， 第 二 行 设 定 了 
动态 分 配 人 P 的 范围 ， 其 必须 在 第 一 行 所 设 定 的 子 网 卫 范围 内 ， 否 则 将 导致 DHCP 服务 启 
动 不 成 功 ， 比 如 说 ， 如 果 第 一 行 改 为 subnet 172.18.12.0 netmask 255.255.255.128, H% 2 章 
的 讲述 我 们 知道 ， 子 网 IP 地 址 的 前 25 位 表示 子 网 号 ， 后 面 的 7 号 ， 因 此 ， 此 
时 主机 的 最 大 IP 应 为 172.18.12.128， 下 面 所 设置 的 172.18.12.200 这 个 IP 就 不 在 上 述 子 网 
的 卫 范 围 之 内 。 此 时 ，DHCP 服务 将 无 法 启动 


option subnet-mask 255.255.255.128; 
option nis-domain "seugrid2.seu.edu.cn"; 
option domain-name "seu.edu.cn"; 


) 


以 上 三 项 为 可 选 参数 ， 非 关键 设置 ， 解 释 从 略 

/etc/hosts 文件 记录 了 IP 和 主机 名 的 对 应 关系 ， 它 能 提高 DNS A i hy 
配 的 情况 ， 最 好 是 将 动态 P 范围 内 的 所 有 IP 3075 Aete/hosts 文件 ， 然 
可 以 如 图 6-7 所 示 那 样 设 定 


E. XT 卫 动态 分 
随意 取 个 主机 名 ， 


图 6-7 ” 设 定 /etc/hosts 文本 
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四 点 评 与 拓展 : DHO 的 文件 配置 与 Linux 基础 网 络 配置 中 提 到 的 概念 密切 相关 ,如 
路 由 地 址 、 广 播 地 址 、 子 网 、 子 网 掩 码 和 DNS 地 址 等 ， 准 确 地 理解 这 些 基 本 概念 ， 有 助 于 
正确 地 设 定 DHCP 服务 。 


6.2.3 DHCP 服务 器 的 启动 和 测试 


设 定好 /etc/dhcpd.conf 之 后 ， 就 可 以 启动 DHCP 服务 器 了 ，DHCP 的 成 功 启动 与 6.2.2 
节 所 讲 的 /etc/dhcpd.conf 文件 和 /etc/sysconfig/dhcpd 文件 有 关 。 
o 对 于 多 网 卡 的 主机 ,我 们 需要 对 DHCP 服务 在 哪 块 网 卡 上 侦 听 作 设 定 。 在 /etc/sysconfig/dhcpd 
文件 中 的 DHCPDARGS 参数 后 面 添加 我 们 需要 侦 听 的 网 卡号 , 本 例 的 主机 用 eth0 的 网 卡 接 
入 局 域 网 ， 因 此 ， 将 DHCPDARGS 设 为 eth0， 如 图 6-8 所 示 。 实 际 上 ，dhcpd 执行 脚本 在 
第 58 行 左右 读 取 DHCPDARGS 中 的 网 卡号 ， 因 此 也 可 以 直接 在 dhcpd 脚本 上 作 修 改 ， 如 
图 6-9 所 示 。 


6-9 在 dhcpd 脚本 中 的 DHCPDARGS 参数 
O 对 于 多 网 卡 的 主机 也 设 定 无 误 后 ， 就 可 以 用 下 面 命令 启动 dhcpd 服务 了 ,启动 和 停止 dhepd 
服务 的 执行 结果 如 图 6-10 所 示 。 关 闭 、 重 启 dhepd 服务 ， 查 看 dhcpd 服务 状态 等 命令 格式 
亦 列 于 下 方 。 
/etc/init.d/dhcpd start 
或 者 service dhcpd start 


/etc/init.d/dhcpd (restart|reload|condrestart|status) 


图 6-10 ”启动 dhcpd 服务 

e Avarlog/messages 文 件 记 录 了 DHCP 服 务 的 日 志 , 如 果 DHCP 不 能 成 功 启动 ,/varlog/messages 
文件 中 就 记录 了 错误 信息 ， 查 询 它 有 助 于 我 们 走出 泥潭 。 由 于 类 似 于 /varlog/messages 的 日 
志文 件 一 般 都 比较 长 ， 最 后 几 行 才 记录 了 最 近 一 次 的 日 志 信息 ， 因 此 一 般 不 使 用 more 命令 
查看 日 志文 件 ， 而 是 使 用 tail 命令 : 
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tail -n 10 /var/log/messages 


该 命令 的 意思 是 查看 /var/log/messages 文件 的 最 后 10 行 ， 结 果 如 图 6-11 所 示 。 可 以 看 到 最 
后 一 行 显示 dhepd startup succeeded， 表 示 dhcpd 服务 启动 成 功 了 。 

另外 ， 还 可 以 通过 查看 网 络 端口 来 确定 dhepd 是 否 启动 成 功 。DHCP 服务 在 UDP 的 67 号 
端口 侦 听 ， 因 此 可 以 通过 下 面 命令 查看 : 


netstat -tulnp | grep 67 


图 6-11 显示 了 运行 结果 ，dhcpd 已 经 成 功 运行 ， 进 程 号 为 32172。 


6-11 dhcpd 服务 启动 成 功 


Q 如 果 6.2.2 节 “DHCP 服务 器 端的 配置 ”中 的 步骤 (2) 中 所 述 将 子 网 掩 码 设 为 255.255.255.128 
的 话 ， 启 动 DHCP 服务 时 就 会 出 现 如 图 6-12 标注 部 分 所 示 的 错误 ， 意 思 是 所 要 动态 分 配 的 
IP 范围 不 在 子 网 范围 之 内 。 


图 6-12 dhcpd 启动 的 错误 日 志 


步 。 另 外 ，DHCP 启动 不 成 功 可 以 及 时 查询 日 志文 件 。 


6.3 DHCP 客户 端的 配置 


应 用 实例 导航 一 一 A 公司 DHCP 客户 端的 配置 


※ 场 景 呈现 


A 公司 架设 好 主 从 DHCP 服务 器 后 , 接着 就 要 对 客户 端 进行 配置 , 客户 端 包括 Windows, 
Linux 两 种 服务 器 ， 试 分 别 写 出 配置 Windows 和 Linux 客户 端的 步骤 。 
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当 某 台 客户 端 连 接 上 DHCP 服务 器 获得 动态 IP 地 址 后 ， 可 以 获得 该 台 客户 端的 MAC 
地 址 ， 要 求 配置 DHCP 服务 器 端 ， 实 现下 次 该 客户 端 连接 DHCP 服务 器 时 ， 静 态 为 它 分 配 
IP 172.18.12.140. 


KAREM 


(1) Linux 客户 端的 配置 。 
(2) Windows 客户 端的 配置 。 
(3) DHCP 静态 IP 的 配置 。 


6.3.1 Linux 客户 端的 配置 


本 节 讲 述 如 何在 Linux 客户 端 下 面 设置 DHCP 服务 ， 这 个 步骤 很 简单 ， 但 是 需要 注意 
的 是 ， 这 些 设置 都 需要 在 本 机 上 操作 ， 因 为 一 旦 使 用 DHCP 就 与 网 络 断 开 连 接 ， 远 程 操纵 
将 失效 。 
o Linux 客户 端的 设置 很 简单 ， 只 要 设置 /etc/sysconfig/network-scripts/ifcfg-eth0 文件 即 可 ， 找 
到 该 文件 中 的 BOOTPROTO 这 个 参数 ， 改 成 dhep 就 设置 成 功 了 ， 如 图 6-13 标注 部 分 所 示 


图 6-13 ifcfg-ethO 文件 的 设置 
O 为 了 使 网 络 设置 生效 ， 使 用 下 面 命令 重启 网 络 服务 ， 如 图 6-14 所 示 


/etc/init.d/network restart 


图 6-14 重启 网 络 服务 


的 点 评 与 拓展 :重启 Linux 服务 器 网 络 服务 时 ， 应 在 本 机 前 操作 ， 不 要 采用 远程 操 
作 功 能 ， 因 为 网 络 重启 时 将 会 使 SSH 断 开 连接 。 
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6.3.2 Windows 客户 端的 配置 


在 DHCP 服务 器 端 成 功 启动 后 ， 局 域 网 的 任 一 台 主机 上 可 以 通过 该 DHCP 服务 器 获得 

卫 地 址 , 这 个 主机 的 系统 可 以 是 Linux 系统 ,也 可 以 是 Windows XP 系统 ,这 里 介绍 Windows 

XP 系统 的 测试 过 程 。 

[ 右 击 【网 上 邻居 】〗 图 标 ， 在 弹出 的 快捷 菜单 中 选择 【属性 】 命 令 ， 弹 出 【网 络 连接 】 窗 口 ， 
如 图 6-15 所 示 。 右 击 【 本 地 连接 】 图 标 , 在 弹出 的 快捷 菜单 中 选择 【属性 】 命 令 ， 如 图 6-15 
标注 部 分 所 示 , 弹出 【本 地 连接 属性 】 窗 口 , 如 图 6-16 所 示 . 选中 【Intemet 协议 (TCPIP)] 
复 选 框 ， 单 击 【 属 性 】 按 钮 ， 如 图 6-16 标注 部 分 所 示 。 


IWO mD MED mw IAD ao SDD 


连接 后 在 通知 区 域 显示 图 标 W 
[v] 此 连接 被 限制 或 无 连接 时 通知 我 W 


确定 LI] 


图 6-15 网 络 连接 窗口 图 6-16 设置 本 地 连接 属性 


© 在 【Intemet 协议 (TCP/IP) 属 性 】 对 话 框 中 ， 选 中 【自动 获得 IP 地 址 〗 和 【自动 获得 DNS 
服务 器 地 址 】 单 选 按钮 ， 如 图 6-17 所 示 。 这 也 正 是 DHCP 提供 给 用 户 的 主要 功能 。 

© 如 何 知道 该 台 主 机 联网 成 功 , 即 DHCP 服务 器 成 功 分 配 IP 给 该 客户 端 呢 ? 可 以 通过 查看 客 
P miy IP 和 DNS 地 址 来 确定 。 选 择 【 开 始 〗 一 【运行 】 命 令 ， 弹 出 如 图 6-18 所 示 的 【 运 
行 〗 对 话 框 ， 在 【打开 】 文 本 框 中 输入 cmd, h AEN RARA DOS 命令 行 。 

Q 输入 ipconfig 命令 ， 如 果 客户 端 已 经 联网 会 显示 出 基本 的 连 网 信息 ， 如 图 6-19 所 示 。 可 以 
看 到 ，DNS Suffix 为 seu.edu.cn， 正 是 我 们 前 面 在 DHCP 服务 器 端的 /etc/dhcpd.conf 中 设置 
的 option domain-name 选项 。 该 客户 端 得 到 的 动态 下 为 172.18.12.239， 确 实在 前 面 所 设 定 
的 P 分 配 范围 之 内 。 这 些 都 表示 ， DHCP 服务 器 设 定 成 功 ， 局域网 内 的 客户 端 能 顺利 从 
DHCP 服务 器 获得 动态 IP. 
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Internet 协议 《1CP/TP) E? 回回 


prd 
pon 


RART, KER KER Internet 资源 的 名 
[7] Ritin: WOSIBRTE. 


yo: Em 


图 6-19 获得 动态 IP 成 功 
如 果 要 为 客户 端 更 新 租约 期 限 ， 可 以 使 用 下 面 命令 ， 执 行 结果 如 图 6-20 所 示 


ipconfig/renew 
-SEU-86558C4Q R4? ipconf ig/renew 


[c: Docunents and Setting: 


Mindous IP Config 


Ethernet adapter 


Connection-specific DN: 


9£8:64db:F6e9:8084 


IP Addm 9£8:2803:dFF:fe3i:effe 


IP Addm 
Defa 


图 6-20 更 新 租约 期 限 
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外 点 评 与 拓展 : Windows 系统 下 查看 网 络 配置 的 命令 是 ipconfig， 而 Linux 系统 下 实 
现 同样 功能 的 命令 则 为 ifconfig. 


6.3.3 


DHCP 静态 IP 的 配置 和 测试 


如 果 客 户 端 因为 断 开 连 接 或 者 租约 期 限 到 期 ， 客 户 端 都 需要 重新 向 DHCP 服务 器 申请 


新 的 卫 地 址 ， 那 么 客户 端 能 否 每 次 向 DHCP 服务 器 申请 IP 时 都 获得 同样 的 P 地 址 呢 ? 


当 在 局 域 网 内 架设 Web 服务 器 时 这 个 问题 就 变 得 很 有 意义 了 。 设 想 局 域 网 内 某 台 主机 
担任 了 Web 服务 器 功能 , CHI IP 地 址 就 应 该 是 固定 的 , IP 地 址 的 随意 变动 将 导致 用 户 无 法 


访问 Wel 


求 DHCP 服务 器 在 这 台 客 户 端 每 次 申请 IP 时 , 都 分 配给 它 固定 的 IP. 


页 面 。 这 就 


本 节 在 Windows XP 客户 端 测试 DHCP 成 功 的 基础 上 ， 深 入 讨论 如 何 解决 DHCP 静态 


卫 的 问题 。 
@ «x 


不 妨 打 开 /varlog/messages 日 志文 件 看 一 看 客户 端的 日 志 信息 ， 如 图 6-21 所 示 。 


& Windows XP 的 主机 连接 DHCP 服务 器 ， 并 获得 172.18.12.239 这 个 IP 地 址 后 , 我 们 


可 以 看 到 ， 这 个 文件 记录 了 DHCP 分 配 的 所 有 IP 地 址 的 日 志 记 录 。 图 6-21 中 的 标注 部 分 


记录 
E 
建立 


了 申请 172.18.12.239 这 个 了 瑟 地 址 的 MAC 地 址 和 主机 名 ,MAC 地 址 为 00:03:0d:31:effe， 
名 为 seu-06558c4aba4。 我 们 知道 MAC 地 址 惟一 确定 了 一 块 网 卡 ，ARP( 地 址 解析 协议 ) 
T MAC 地 址 和 IP 地址 的 映射 关系 ， 因 此 ， 基 于 这 个 思路 ， 我 们 如 果 在 DHCP 服务 器 


上 将 某 个 MAC 地 址 与 某 个 IP 地 址 绑 定 在 一 起 ， 就 可 以 实现 某 客户 端 总 能 申请 到 固定 的 TP 


地 址 


e 打开 


这 个 目的 了 。 


m 1 -n 15 


图 6-21 ”记录 客户 端的 日 志 信息 


DHCP 主 配 置 文件 /etc/dhcpd.conf， 添 加 静态 IP 地 址 信息 ， 如 图 6-22 标注 部 分 所 示 ， 


解释 如 下 : 


host seu-06558c4aba4( 


hardware ethernet 00:03:0d:31:ef:fe; 
fixed-address 172.18.12.140; 


) 


host 后 面 是 主机 名 ， 我 们 将 日 志文 件 上 记录 的 主机 名 写 在 此 处 。 
harware ethernet 记录 了 MAC 地 址 ，fixed-address 记录 了 指定 分 配给 该 客户 端的 固定 IP 
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地 址 。 这 里 我 们 将 动态 分 配 的 IP 范围 规定 在 172.18.12.100 一 172.18.12.240 内 ， 并 将 
172.18.12.140 这 个 IP 地 址 固定 分 配 在 MAC 地 址 为 00:03:0d:31:ef:fe 的 客户 端 。 


图 6-22 在 dhcpd.conf 中 配置 静态 IP 


测试 静态 卫 ， 将 该 主机 的 网 卡 停 用 或 者 使 用 下 面 命 


© 现在 仍然 在 那 台 Windows XP 的 主机 上 
令 释 放 IP 地 址 ， 再 重新 
Windows XP 释放 IP 地址 全 


ipconfig/release 
成 功 获得 下 后， 
这 次 获得 的 IP 果然 
B, MARR 


如 图 6-23 标注 部 分 所 示 ， 
IP 设置 成 功 。 以 后 的 每 次 连 


是 172.18.12.140， 说 明 DHCP 服务 器 
X^ IP 地址 


[C:\Documents and Settings wuzhiang.SEU-86558C4Q0BR45ipconf ig 


Mindows IP Configuration 


Ethernet adapter $ 


Default Gateuay 


图 6-23 ”测试 静态 IP 
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O 在 DHCP 静态 正 设置 中 ， 经 常 需要 知道 其 他 主机 的 MAC 地 址 ， 那 么 如 何 获得 某 个 人 P 的 
MAC 地 址 呢 ? 这 里 介绍 一 个 小 技巧 ， 即 通过 ping 命令 和 arp 命令 的 组 合 使 用 来 获得 ， 如 
图 6-24 标注 部 分 所 示 , 列 出 了 上 面 ping 命令 所 带 参 数 的 那个 耳 地 址 及 其 MAC 地 址 。 两 条 
命令 分 列 于 下 : 
ping -c 1 172.18.12.179 
arp -n 
原理 其 实 很 简单 ， 从 2.135 "TCP/IP 协议 族 概述 ”中 知道 ，TCP/IP 协议 族 中 的 ARP 协议 提 
供 了 从 下 地 址 到 MAC 地 址 的 映射 转换 功能 。 当 收 到 由 下 地 址 查询 MAC 地 址 的 请 求 时 ， 
ARP 首先 查找 本 地 缓存 中 的 IP 地 址 和 MAC 地 址 的 映射 表 ， 如 果 查 不 到 对 应 项 ， 则 在 所 处 
网 段 内 广播 查询 请 求 ， 与 请 求 中 IP 地 址 一 致 的 主机 收 到 广播 请 求 后 将 自己 的 MAC 地 址 反 
向 发 出 。ARP 主机 收 到 所 需要 的 MAC 地 址 后 ， 更 新 缓存 中 的 映射 表 ， 这 样 下 次 查询 该 IP 
所 对 应 的 MAC 地 址 时 ， 就 可 以 直接 从 缓存 中 获得 ， 提 高 查询 效率 。 因 此 ， 当 输入 ping 命 
令 时 ， 主 机 获得 该 P 对 应 的 MAC 地 址 ， 并 将 其 放置 于 缓存 中 ， 当 我 们 接着 输入 amp 命令 
查看 缓存 内 容 时 ， 当 然 可 以 出 现 刚才 ping WA IP b MAC 地 址 了 ，MAC 地 址 是 48 位 的 二 
进 制 数 ， 通 常 以 十 六 进 制 的 数 显示 出 来 ， 一 共有 6 个 分 段 ， 每 个 分 段 包 括 两 个 十 六 进 制 数字 


图 6-24 ”获得 某 主 机 的 MAC 地 址 


6.4 本 章 小 结 


DHCP 服务 广泛 地 应 用 于 局 域 网 主机 数量 大 或 者 移动 设备 接 入 频繁 的 环境 中 ， 它 简化 
了 网 络 管理 员 对 TP 地 址 的 管理 ,， 有 效 避 免 了 临时 接 入 用 户 所 产生 的 下 地址 冲突 问题 , 大 大 
地 方便 了 用 户 的 接 入 。 

本 章 主要 介绍 了 DHCP 的 基本 概念 及 工作 原理 、DHCP 服务 器 端 及 客户 端的 安装 和 配 
置 等 内 容 。 分 别 介绍 了 Linux 和 Windows 两 种 不 同 的 客户 端 操作 系统 获得 DHCP 动态 全 地 
址 的 配置 ， 并 且 展 开 对 Windows 客户 端的 讨论 ， 介 绍 并 演示 了 配置 静态 IP 地 址 的 过 程 。 读 
者 需 要 着 [om 62 55. 632 T8 6.3.3 cie 网， 这 样 有 助 于 理解 DHCP 动态 I 全 分 
配 、 静 态 卫 分 配 以 及 租约 期 等 重要 概念 。 
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DNS(Domain Name System， 域 名 系统 ) 是 Internet 和 Intranet 中 一 种 重要 的 网 络 服务 ， 
它 可 以 将 域名 解析 成 他 地 址 ， 使 用户 只 要 记 住 简单 的 域名 而 不 是 由 一 连 串 数字 所 组 成 的 全 
地 址 即 可 访问 网 络 。 本 章 主要 介绍 了 DNS 的 层次 式 域名 结构 、DNS 查询 的 基本 原理 ， 
Cache-only 和 Forwarding 服务 器 ， 根 DNS 服务 器 及 主 从 服务 器 的 配置 ， 以 及 DNS 客户 端 
的 配置 和 测试 等 内 容 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 内 容 : 

* DNS 的 工作 原理 
Cache-only 服务 器 的 配置 
Cache-only 和 Forwarding 服务 器 的 特点 和 意义 
根 DNS 服务 器 的 配置 
主 从 DNS 服务 器 的 配置 
DNS 客户 端的 配置 
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7.1 DNS 服务 概述 


7.1.1 域名 系统 


DNS 是 一 种 TCP/IP 的 标准 服务 , 它 是 一 种 组 织 成 域 层次 结构 的 计算 机 和 网 络 服务 命名 
系统 ， 负 责 IP 地 址 和 域名 之 间 的 转换 。 第 2 章 “Linux 服务 器 基本 网 络 配置 ”中 介绍 过 ， 
TCP/IP 体系 架构 中 网 络 层 区 分 各 个 主机 的 方法 是 为 每 台 主 机 分 配 一 个 惟一 的 耳 地 址 来 实现 
的 。 第 4 版 本 的 IP 地 址 是 由 32 位 二 进 制 数组 成 的 ， 将 这 32 位 二 进 制 数 分 成 4 组 ， 每 组 8 
个 二 进 制 数 ， 然 后 将 这 8 个 二 进 制 数 转 化 成 十 进 制 数 ， 就 是 普遍 所 看 到 的 IP 地 址 ， 其 范围 
在 1 一 255 之 间 。 但 这 些 IP 数字 难以 记忆 ， 所 以 采用 域名 来 取代 数字 ， 比 如 Intemet 用 户 能 
够 很 方便 地 记 住 www.google.com， 但 是 很 少 的 用 户 能 记 住 google 的 IP 地 址 。 

在 Internet. 上 域名 与 IP 地 址 之 间 是 一 一 对 应 的 ， 域 名 虽然 便于 Internet 用 户 记忆 ， 却 不 
能 作为 网 络 层 的 惟一 标识 , 本 章 所 要 讲述 的 DNS 服务 器 就 是 为 了 实现 域名 到 TP 地 址 的 映射 
转换 的 。DNS 服务 器 通过 建立 DNS 数据 库 ， 记 录 主 机 名 称 与 PP 地 址 的 对 应 关系 ， 为 客户 
端 主机 提供 耳 地 址 解析 服务 。 当 有 主机 要 与 网 络 上 其 他 主机 通信 时 ,就 可 以 通过 域名 向 DNS 
服务 器 查询 那 台 主机 的 卫 地 址 。 

域名 系统 需要 维持 全 球 所 有 域名 与 IP 地 址 的 对 应 关系 ， 因 此 数据 量 是 非常 巨大 的 ， 为 
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了 方便 地 管理 这 个 海量 数据 库 ， 域 名 系统 采用 了 分 布 式 分 层 管理 的 方式 。DNS 服务 器 以 两 
种 标准 将 全 世界 的 域名 进行 统一 分 类 : 第 一 种 是 以 国家 码 ， 即 这 个 域名 属于 哪个 国家 ， 由 
于 互联 网 起 源 于 美国 的 Ampanet， 因 此 不 带 国家 码 的 域名 默认 是 美国 的 域名 ， 比 如 
www.google.cn 就 说 明 这 个 域名 是 google 在 中 国 的 镜像 站 ，.cn 表示 中 国 。 第 二 种 是 以 域名 
所 属 的 机 构 类 型 来 分 类 ， 主 要 有 6 大 类 ， 如 表 7-1 所 示 。 


表 7-1 DNS 域名 系统 分 类 


分 类 名 称 d x 
com 公司 、 企 业 等 
org 组 织 、 机 构 
edu 大 学 等 教育 机 构 
gov 政府 机 关 
net 网 络 、 通 信 机 构 
mil 军事 单位 


DNS 的 数据 库 结构 是 一 个 倒立 的 树 状 结构 ， 最 顶部 是 根 域 ， 根 域 下 的 是 顶级 域 ， 顶 级 
域 一 般 有 表 7-1 所 示 的 6 种 类 型 以 及 所 有 国家 码 , 每 个 国家 码 再 划分 出 二 级 域 , 仍然 是 以 此 
6 种 类 型 划分 ， 因此 一 个 国家 的 域名 由 以 国家 码 所 标识 的 顶级 域 进行 统一 分 配 和 管理 。 二 级 
域 可 以 再 划分 出 子 域 , 子 域 下 是 主机 或 是 再 划分 的 子 域 ,直至 主机 ， 如 图 7-1 所 示 。 整 个 域 
名 地 址 从 底部 到 根部 逐 层 书写 ， 中 间 以 “.” 隔 开 。 


图 7-1 DNS 域名 空间 
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7.1.2 DNS 的 查询 流程 


客户 端 发 送 的 查询 消息 包含 以 下 3 条 : 

今 “ 指 定 的 DNS 域名 ， 必 须 为 完全 符合 标准 的 域名 (FQDN)。 

分 ”指定 的 查询 类 型 ， 可 根据 类 型 指定 资源 记录 ， 或 者 指定 为 查询 操作 的 专门 类 型 。 

今 “DNS 域名 的 指定 类 型 。 

当 要 查询 所 使 用 的 名 称 时 ，DNS 客户 端 会 查询 DNS 服务 器 来 解析 。DNS 查询 主要 以 
下 列 4 种 方式 进行 解析 : @ 客 户 端 使 用 先前 查询 中 获得 的 缓存 信息 就 地 应 答 查询 ，CDNS 
服务 器 使 用 其 自身 的 资源 记录 缓存 信息 来 应 答 查询 ，@@DNS 服务 器 代表 客户 端 查询 其 他 
DNS 服务 器 以 完全 解析 该 名 称 ， 然 后 将 应 答 返 回 至 客户 端 ， 即 递归 查询 ，@ 客 户 端 本 身 查 
询 其 他 DNS 服务 器 来 解析 名 称 ， 并 根据 DNS 服务 器 的 应 答 使 用 其 他 的 独立 查询 ， 即 迭代 
查询 。 

DNS 查询 过 程 一 般 分 两 步 进行 。 

1. 本 地 解析 


名 称 查询 首先 从 客户 端 计算 机 开始 , 先 将 解析 请 求 传 给 本 机 的 DNS 客户 服务 程序 .DNS 
客户 服务 程序 使 用 本 地 缓存 信息 进行 解析 ， 如 果 能 够 解析 所 查询 的 名 称 ， 则 发 送 应 答 信息 ; 
如 果 与 本 机 缓存 中 的 信息 不 匹配 , 则 解析 过 程 继续 , 客户 端 将 查询 DNS 服务 器 来 进行 解析 。 
本 地 解析 具体 过 程 如 图 7-2 所 示 。 


客户 端 本 地 缓 丰 
rr 


7 


S \ 加 载 
^N 
"T 
图 7-2 本 地 解析 


本 地 缓存 包括 两 种 信息 : @ 主 机 文件 。 该 文件 属 本 地 配置 ， 是 主机 名 称 到 地 址 的 映射 
信息 ， 由 DNS 客户 服务 程序 启动 时 预先 加 载 至 缓存 。@ 资 源 记 录 。 该 信息 是 从 先前 的 DNS 
查询 的 应 答 中 取得 的 ， 将 在 缓存 中 保留 一 段 时 间 。 

2. 查询 DNS 服务 器 


如 果 不 能 在 本 机 解析 查询 ， 可 将 客户 端 请 求 发 送 至 DNS 服务 器 ， 通 过 查询 DNS 服务 
器 来 解析 名 称 。DNS 服务 器 接 到 查询 请 求 后 ， 先 查询 能 否 在 本 地 配置 区 域 里 获取 匹配 的 资 
源 记录 信息 。DNS 查询 原理 如 图 7-3 所 示 。 
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区 域 


主机 文件 Q 
1 
客户 端 H 
—cx— ————À 
+ « + 其 他 服务 器 
IRR 
DNS 服务 器 N 
Ki 
根 目录 提示 文件 


服务 器 组 存 
图 7-3 DNS 查询 原理 
如 果 所 要 查询 的 名 称 与 本 地 区 域 中 的 相关 资源 记录 信息 完全 匹配 ， 则 使 用 该 信息 来 解 
析 查 询 的 名 称 ， 并 发 送 应 答 信息 。 
如 果 本 地 区 域 中 没有 所 要 查询 的 名 称 的 相关 信息 ， 则 服务 器 尝试 通过 先前 查询 的 本 地 
缓存 信息 来 解析 名 称 。 如 果 查 询 到 匹配 信息 ， 则 服务 器 使 用 该 信息 发 出 应 答 。 


如 果 从 缓存 和 本 地 区 域 中 都 未 发 现 与 查询 的 名 称 相 匹配 的 信息 ， 则 查询 过 程 继续 ， 使 
用 递归 查询 来 完全 解析 名 称 。 递 归 查 询 的 工作 流程 如 图 7-4 所 示 。 


了 a 
客户 中 eur 
— 一 
Q $ g infe 
DNS 服务 器 NE 
3 edu cn 服务 器 


7-4 递归 查询 的 工作 流程 


假设 需要 查询 seu.edu.cn 的 地 址 ， 首 选 DNS 服务 器 通过 分 析 域 名 ， 向 顶层 域 cn 查询 ， 
而 cn 的 DNS 服务 器 与 edu.cn 的 服务 器 联系 以 获取 进一步 的 地 址 ， 这 样 循环 查询 直到 获得 
需要 的 结果 ， 然 后 一 级 一 级 向 上 返回 查询 结果 ， 最 终 完成 查询 。 此 外 ， 为 了 让 DNS 服务 器 
可 以 正确 进行 递归 查询 ， 需 要 一 些 必要 信息 ， 该 信息 通常 以 根 目录 形式 提供 。 借 助 根 目录 
提示 寻找 根 域 服务 器 ，DNS 服务 器 就 可 以 完成 递归 查询 。 
如 果 DNS 服务 器 上 禁用 递归 查询 或 查询 DNS 服务 器 时 客户 端 没有 申请 递归 查询 ， 则 
使 用 迭代 查询 。 和 迭代 查询 的 工作 流程 如 图 7-5 所 示 。 
假设 现在 要 从 代 查询 userseu.edu.cn 的 地 址 ， 而 DNS 服务 器 在 本 地 查询 不 到 客户 端 请 
求 的 名 称 信息 时 ， 就 会 代 之 以 DNS 客户 端的 身份 向 其 他 的 DNS 服务 器 继续 进行 查询 以 解 
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析 该 名 称 。 一 般 情况 下 ， 查 询 搜索 范围 可 能 会 一 直 扩 展 到 根 域 服务 器 ， 但 根 域 服务 器 并 不 
进行 完整 应 答 , 只 返回 edu.cn 服务 器 的 他 地址 。 DNS 服务 器 则 根据 该 信息 向 edu.cn 服务 器 
进行 查询 ， 在 edu.cn 服务 器 完成 对 userseu.edu.cn 的 域名 解析 后 ， 再 将 结果 返回 DNS 服务 
器 。 另 外 ， 对 于 大 多 数 迭 代 查 询 ， 如 果 它 的 主 DNS 不 能 解析 该 名 称 ， 那 么 客户 端 就 会 使 用 
本 地 配置 的 DNS 服务 器 列表 ， 在 整个 DNS 域名 空间 中 联系 其 他 域名 服务 器 。 


e ce g 根 域 服务 器 
客户 端 se 


SS 


DNS 服务 器 ss 3 


7-5 迭代 查询 的 工作 流程 


edu.cn 服 务 器 


7.4.3. 正 向 解析 与 反 向 解析 


正 向 解析 是 将 域名 映射 为 IP 地 址 ， 例 如 ，DNS 客户 机 可 以 查询 主机 名 称 为 
www.seu.edu.cn 的 IP 地 址 。 反 向 解析 是 将 IP 地 址 映射 为 域名 。 要 实现 反 向 解析 ， 必 须 在 
DNS 服务 器 中 创建 反 向 解析 区 域 。 反 向 域名 的 顶级 域名 是 in-addr.arpa。 反 向 域名 由 两 部 分 
组 成 ， 域 名 前 半 段 是 其 网 络 ID 反 向 书写 ， 而 区 域 后 半 段 必须 是 in-addr.arpa。 例 如 ， 要 针对 
网 络 ID 为 202.119.8.0 的 IP 地 址 来 提供 反 向 解析 功能 ， 则 此 反 向 区 域 的 名 称 必 须 是 
8.119.202.in-addr.arpa。 


7.2 DNS 服务 器 端的 配置 


应 用 实例 导航 一 一 Cache-only 服务 器 的 架设 


KAREM 


A 公司 准备 架设 一 台 Cache-only 服务 器 , 即 在 该 服务 器 上 不 提供 DNS 数据 库 查 询 功能 ， 
只 提供 缓存 和 转发 功能 。 


※ 技 术 要 领 


(1) Cache-only 和 Forwarding 服务 器 的 概念 和 区 别 。 
(2) Cache-only 服务 器 的 配置 。 
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DNS 服务 器 本 身 可 以 提供 查询 功能 ， 也 可 能 不 提供 查询 功能 ， 而 仅 提供 转发 功能 。 本 
节 将 分 别 介绍 两 类 DNS 服务 器 的 服务 器 端 配置 方法 .在 此 之 前 , 首先 介绍 Linux 系统 下 DNS 
软件 所 包括 的 一 些 组 件 ， 使 读者 对 DNS 有 整体 上 的 了 解 ， 然后 介绍 比较 简单 的 Cache-only 
DNS 服务 器 的 配置 ， 在 此 基础 上 ， 介 绍 DNS 根 服务 器 的 配置 方法 。 


7.2.1 DNS 软件 结构 简介 


架设 DNS 服务 器 的 常用 软件 是 BIND 程序 ，BIND 是 加 州 大 学 伯克利 分 校 开发 出 来 的 
实现 DNS 服务 器 的 开源 软件 ，BIND 实际 上 是 Berkeley Internet Name Domain Service 的 缩 
写 。BIND 是 由 美国 DARPA 资助 的 研究 项 目 ， 经 过 多 年 的 不 断 发 展 ， 目 前 已 经 成 为 最 广泛 
使 用 的 DNS 服务 器 软件 。 目 前 的 最 新 版 本 为 第 9 版， 它 修正 了 以 前 版 本 的 很 多 错误 ， 具有 
更 高 的 稳定 性 和 更 高 的 执行 效率 ， 输 入 下 面 命 令 可 以 查看 BIND 的 安装 版 本 : 


rpm -qa | grep bind 


7-6 查看 BIND 版 本 


执行 结果 如 图 7-6 所 示 ， 该 服务 器 安装 了 BIND 的 9.3.2 版 本 ，bind-utils-9.3.2-4.1 是 用 
于 DNS 客户 端的 软件 ，bind-9.3.2-4.1 是 用 于 DNS 服务 器 端的 软件 。 


7.2.2 Cache-only 和 Forwarding DNS 服务 器 


1. Cache-only 和 Forwarding 的 比较 

Cache-only 和 Forwarding 服务 器 是 最 简单 的 两 种 DNS 服务 器 ， 它 们 本 身 没 有 DNS 域 
名 数据 库 ， 也 不 能 管理 任何 域 ， 类 似 于 代理 服务 器 ， 它 们 都 是 将 所 收 到 的 客户 端的 查询 请 
求 转发 出 去 ， 然 后 等 待 其 他 DNS 服务 器 的 查询 结果 。 

那么 Cache-only Il Forwarding 两 种 服务 器 有 何 区 别 呢 ? 首先 ,从 名 字 上 来 看 , Cache-only 
服务 器 带 了 缓存 机 制 ， 可 以 将 最 近 用 户 的 查询 结果 存放 在 缓存 中 ， 从 而 加 快 了 客户 端的 响 
应 速度 ， 而 Forwarding 服务 器 未 必要 有 缓存 机 制 。 其 次 ，Forwarding 服务 器 可 以 将 查询 请 
求 转发 给 任意 的 其 他 DNS 服务 器 ,也 可 能 发 到 某 台 Cache-only 服务 器 , 但 是 Cache-only 
服务 器 不 会 将 查询 请 求 随便 发 送 ， 而 必定 是 转发 到 根 DNS 服务 器 查询 ， 如 图 7-7 所 示 ， 因 
JE, Forwarding 服务 器 可 以 不 知道 根 DNS 服务 器 的 地 址 ， 但 是 Cache-only 却 必 须要 知道 。 
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两 种 服务 器 区 别 甚 微 ， 因 此 在 配置 方法 上 大 同 小 异 ， 或 许 命名 为 哪 种 服务 器 就 取决 于 
配置 时 是 否 设置 缓存 ， 转 发 的 地 址 是 否 是 根 DNS 服务 器 。 


根 DNS 服 务 器 


图 7-7 Cache-only 和 Forwarding 服务 器 示意 图 


2. Cache-only 服务 器 的 配置 
由 于 Cache-only 服务 器 无 需 配 置 DNS 数据 库 ， 也 无 需 配 置 正 反 解 域 ， 只 需 配 置 
/etc/named.conf 文件 即 可 ， 因 此 相对 简单 些 ， 本 节 就 讲述 如 何 配置 Cache-only 服务 器 。 
从 DNS 软件 结构 中 知道 ，DNS 的 主 配置 文件 是 /etcnamed.conf， 所 以 配置 Cache-only 
只 需 对 该 文件 进行 配置 即 可 ， 使 用 vi 命令 打开 文件 ， 如 图 7-8 所 示 。 找 到 文件 中 的 options 
- 段 ， 添 加 如 图 7-9 标示 部 分 的 语句 ， 解 释 如 下 : 


图 7-8 打开 /etc/named.conf 


Ption 
directory 
lump-fil 


图 7-9 ”配置 /etc/named.conf 
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options { 
directory "/var/named"; 
dump-file "/var/named/data/cache dump.db"; 
statistics-file "/var/named/data/named stats.txt"; 


pid-file "/var/run/named/named.pid"; 


这 三 行 采用 默认 值 ，pid-file 记录 named 服务 的 进程 号 。 


forward only; 
forwards ( 
202.119.24.12; 
202.119.24.18; 
) 
) 


forward only 说 明 DNS 服务 器 只 进行 转发 ， 不 执行 查询 ， 这 是 Cache-only 服务 器 最 重 
要 的 设 定 。 

forwards 里 面 记录 了 转发 的 地 址 ， 可 以 设 为 本 机 构 的 DNS 服务 器 ， 或 者 设 成 ISP 提供 
的 DNS 服务 器 。 一 般 各 个 省 市 都 有 自己 本 地 的 服务 器 ， 比 如 江苏 有 两 个 ，pubjsinfo net 
221.228.255.2 和 ns.jsinfo.net 61.139.2.69.. 

我 们 可 以 总 结 出 named.conf 文件 格式 有 如 下 规则 。 

每 行 语句 必须 以 分 号 结尾 。 

如 options 这 种 的 语句 段 ， 需 要 用 花 括 号 将 设 定 的 语句 段 包含 起 来 。 

注释 符号 与 C++ 语言 类 似 ，“/* #/ ”符号 注释 一 段 语句 ，“/” 符 号 注释 一 行 语句 。 并 
且 该 文件 也 可 以 用 shell 脚本 中 的 注释 符号 “# ”， 也 是 注释 一 行 语句 。 


3. Cache-only 和 Forwarding 的 深入 讨论 


从 前 面 两 种 服务 器 的 概念 和 配置 中 可 以 看 出 ，Cache-only 和 Forwarding 服务 器 提供 的 
功能 很 相似 ， 本 质 上 都 是 提供 转发 功能 而 并 不 提供 查询 功能 。 那 么 这 种 类 型 的 服务 器 到 底 
会 给 网 络 带 来 正面 的 还 是 负面 的 影响 呢 ? 也 就 是 说 ， 这 种 类 型 的 服务 器 在 网 络 中 有 没有 必 
要 存在 呢 ? 如 果 有 必要 存在 ， 那 么 它们 存在 的 意义 在 哪里 呢 ? 在 本 节 中 ， 我 们 就 讨论 一 下 
这 个 有 意思 的 话题 。 

对 于 Cache-only 服务 器 的 优 劣 ， 存 在 两 种 观点 。 第 一 种 观点 认为 Cache-only 起 到 了 平 
衡 负载 的 作用 ， 如 图 7-10 所 示 ， 当 客户 端 很 多 ， 而 根 DNS 只 有 一 台 时 ，Cache-only 通过 组 
存 一 些 DNS 数据 库 的 记录 可 以 满足 很 多 客户 端的 查询 要 求 ， 使 得 每 台 客 户 端 不 必 都 去 访问 
IR DNS 服务 器 ， 从 而 减轻 了 根 DNS 服务 器 的 负载 ， 加 快 了 对 客户 端的 响应 速度 。 第 二 种 
观点 认为 Cache-only 和 Forwarding 服务 器 的 这 种 转发 功能 增加 了 网 络 中 IP 包 的 数量 , 容易 
引起 网 络 风暴 。 
实际 上 ， 两 种 观点 都 没有 考虑 到 使 用 Cache-only 服务 器 的 网 络 环境 ， 笔 者 认为 ， 如 果 
在 用 户 兴 趣 相似 、Web 服务 器 变动 不 频繁 的 环境 中 ，Cache-only 服务 器 所 缓存 的 DNS 数据 
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库 记 录 将 很 大 概率 地 被 再 次 使 用 ， 这 时 的 Cache-only 功能 将 大 幅度 加 快 对 客户 端的 响应 速 
度 ， 平 衡 根 DNS 服务 器 的 网 络 负载 。 例 如 ， 处 于 同一 组 织 或 公司 的 用 户 ， 由 于 工作 需要 很 
可 能 会 访问 相似 的 站 点 ， 这 时 一 旦 有 一 位 用 户 访问 过 ， 记 录 就 被 存储 在 Cache-only 服务 器 
中 ， 其 他 用 户 再 次 访问 时 就 无 需 查询 根 DNS 服务 器 ， 只 需 查 询 局 域 网 内 的 Cache-only 服务 
器 即 可 获得 该 DNS 记录 。 反 之 ， 如 果 用 户 查询 的 DNS 记录 大 相 径 庭 ，Web 服务 器 又 经 常 

变更 ， 那 么 Cache-only 服务 器 的 存在 不 仅 不 能 带 来 实际 的 用 处 ， 还 可 能 引起 网 络 风暴 。 
根 DNS 服 务 器 


Cache-only 
服务 器 -* 


Cache-only 


A in 


客户 端 1 客户 端 2 ”客户 端 3 


SD OG» (S E $ 


图 7-10 利用 Cache-only 服务 器 实现 负载 均衡 


的 点 评 与 拓展 : 简 而 言 之 ，Cache-only 和 Forwarding 服务 器 与 DNS 根 服务 器 的 最 大 
区 别 在 于 : 这 两 种 服务 器 不 带 DNS 数据 库 文件 ， 不 提供 查询 功能 ， 但 是 Cache-only 有 着 类 
似 于 操作 系统 中 缓存 的 作用 ， 从 而 能 够 均衡 网 络 负载 ， 提 高 用 户 查询 速度 。 


7.2.3 DNS 服务 器 端的 配置 


应 用 实例 导航 一 一 DNS 主 服务 器 的 架设 


※ 场 景 呈现 

A 公司 在 成 功 架设 一 台 Cache-only 服务 器 后 ,进一步 准备 架设 管理 公司 域 的 DNS 服务 
器 ， 所 管理 的 域名 为 seu.edu.cn。 该 DNS 服务 器 需要 提供 该 域内 的 所 有 主机 的 正 向 解析 ; 
该 域 的 他 范围 为 172.18.12.*， 该 DNS 服务 器 也 需要 提供 对 这 个 范围 内 的 他 地 址 的 反 向 解 


析 功 能 。 
※ 技 术 要 领 


(1) DNS 服务 器 的 chroot 和 管理 域 设置 。 
(2) DNS 服务 器 正 向 解析 数据 库 文件 的 创建 。 
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(3) DNS 服务 器 反 向 解析 数据 库 文件 的 创建 。 


在 对 Cache-only 这 种 简单 的 DNS 服务 器 有 所 了 解 后 , 本 节 介 绍 DNS 根 服务 器 的 配置 ， 
这 类 服务 器 提供 查询 库 ， 维 持 了 DNS 数据 库 ， 并 提供 对 管理 域内 主机 的 正 向 和 反 向 解析 功 
能 。 根 DNS 服务 器 的 配置 文件 主要 有 三 个 : 根 DNS 服务 器 的 主 配 置 文件 、 正 向 解析 配置 
文件 以 及 反 向 解析 配置 文件 。 

1. 根 DNS 服务 器 的 设置 

根 DNS 服务 器 的 主 配置 文件 依然 是 /etc/named.conf 文件 ， 需 要 在 此 文件 中 设置 是 否 提 
供 查 询 功 能 、 是 否 提 供 转 发 功能 、 正 向 解析 配置 数据 库 文件 的 路 径 和 域名 、 反 向 解析 配置 
数据 库 文 件 的 路 径 和 下 段 。 
o 首先 设 定 /etc/named.conf 的 options 部 分 ， 这 里 规定 了 DNS 服务 器 的 权限 ， 是 DNS 服务 器 

的 总 设 定 。 添加 如 图 7-11 标注 部 分 所 示 的 语句 。 前 面 四 行 与 Cache-only 服务 器 的 设 定 相同 ， 

在 此 不 作 详 细 解 释 ， 我 们 仅 解释 最 后 三 行 : 


forwarders (202.119.24.12; 202.119.24.18;); 


指定 了 转发 地 址 ， 即 如 果 在 本 地 DNS 数据 库 查 询 不 到 ， 就 将 用 户 查询 请 求 转发 到 此 处 设 定 
的 地 址 。 


allow-query (any;); 
设 定 是 否 允 许 查询 , 此 项 是 与 Cache-only 服务 器 本 质 不 同 的 地 方 , 根 服务 器 当然 是 允许 的 了 。 
allow-transfer {none;}; 

是 否 允 许 传送 域 ， 默 认 不 可 以 ， 通 常 不 作 修改 。 


图 7-11 DNS 服务 器 权限 设 定 

O 然后 设置 在 管理 域内 如 何 作 正 向 解析 和 反 向 解析 ， 添 加 如 图 7-12 所 示 的 语句 。 可 以 看 到 实 
际 上 是 添加 了 两 个 zone 结构 ， 一 个 用 于 正解 ， 一 个 用 于 反 解 。 下 面 分 别 解释 这 两 个 zone 
的 意义 。 
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zone "seu.edu.cn" ( 
type master; 


file "named.seu.edu.cn"; 


这 个 zone 用 于 正 向 解析 ,我们 知道 正 向 解析 是 从 域名 查找 出 它 所 对 应 的 卫 ， 因 此 正 向 
解析 的 zone 必须 设置 域名 ， 本 例 DNS 管理 的 域 的 域名 是 seu.edu.cn. 

type 是 该 zone 的 类 型 , DNS 服务 器 一 共 规定 了 三 种 类 型 的 zone: master. slave 和 hint. 
其 中 最 上 层 的 DNS 服务 器 用 hint 类 型 , DNS 主 服 务 器 使 用 master 类 型 , 从 服务 器 使 用 slave 
类 型 。 这 个 服务 器 是 seu.edu.cn 域内 的 主 服 务 器 ， 因 此 使 用 master 类 型 。 

file 设置 了 正 向 解析 数据 库 文 件 的 相对 路 径 ， 那 么 DNS 服务 器 如 何 获得 该 文件 的 绝对 
文件 路 径 呢 ?前 面 的 chroot 和 options 里 的 directory 选项 , 正 是 由 这 两 个 参数 拼装 出 了 文件 
的 绝对 路 径 ， 格 式 如 下 : [chroot 目录 ]/[options 中 的 directory 目录 ]/[file 设 定 值 ]。 本 例 中 的 
绝对 路 径 为 /var/named/chroot/var/named， 至 于 如 何 建立 named.seu.edu.cn 这 个 文件 将 在 7.3 
节 介 绍 ， 但 是 启动 named 服务 之 前 ， 一 定 要 保证 /var/named/chroot/var/named 这 个 目录 中 有 


named.seu.edu.cn 这 个 文件 。 


zone "12.18.172.in-addr.arpa" IN { 
type master; 
file "named.172.18.12"; 


这 个 zone 用 于 反 向 解析 ， 反 向 解析 是 从 IP 查找 出 它 所 对 应 的 域名 ， 因 此 反 向 解析 的 
zone 必须 设置 全 段 ， 本 例 将 他 段 设 为 172.18.12 的 意思 是 反 向 适用 于 172.18.12.* 这 个 范围 
内 的 下 地 址 。 

type 同样 为 master。 

file 定义 了 反 向 解析 数据 库 文件 名 为 named.172.18.12， 同 样 启动 named 服务 之 前 ， 一 
定 要 保证 /var/named/chroot/var/named 这 个 目录 中 有 named.172.18.12 这 个 文件 。 


图 7-12 /etc/named.conf 中 的 正 反 向 解析 设置 


2. DNS 服务 器 正 向 解析 数据 库 文件 的 建立 


DNS 的 查询 依赖 于 正 向 解析 数据 库 文件 ， 当 用 户 DNS 查询 请 求 到 达 后 ,首先 查询 这 些 
正 向 解析 数据 库 文 件 ， 如 果 是 最 上 层 的 DNS 服务 器 ， 它 保存 的 数据 库 文件 记录 了 次 层 所 有 
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主机 和 IP 的 对 应 关系 ， 官 方 ISP 提供 了 这 种 数据 库 文件 。 本 节 所 讲述 的 数据 库 文件 仅 记录 
了 本 管理 域内 的 域名 与 IP. 地 址 的 对 应 关系 ,但 与 官方 提供 的 最 高 层 的 root 服务 器 的 数据 库 


文件 格式 一 致 ， 设 定 方法 也 一 致 。 下 面 讲述 如 何 建立 正 向 解析 数据 库 文件 ， 并 解释 其 含义 。 
o 使 用 vi 1T7F/var/named/chroot/var/named/named.seu.edu.cn 文件 ， 添 加 如 图 7-13 所 示 的 全 部 


语句 。 这 两 段 包 含 了 TTL 和 SOA 的 设置 。 
$TTL 600 


该 项 设 定 了 TTL 时 间 ， 何 谓 TTL 呢 ? 前 面 概述 部 分 讲 过 当 DNS 成 功 查询 到 某 个 域名 所 对 
应 的 下 后 , 通常 会 将 此 结果 放 在 本 地 一 段 时 间 , TTL 就 是 规定 将 结果 放置 多 长 时 间 的 选项 。 
它 设 定 了 当 外 部 DNS 服务 器 查询 本 域 的 主机 时 ， 结 果 放 置 在 那 台 外 部 DNS 服务 器 中 的 时 
间 ， 单 位 为 秒 。 

TTL 如 何 设 定 才 合适 呢 ? 一 般 来 说 ， 如 果 本 域内 的 主机 的 对 应 关系 变动 频繁 ，TTL 宜 设 置 
得 小 些 ; 如 果 本 域内 的 主机 的 对 应 关系 长 期 固定 不 变 ，TTL 可 以 设 得 大 些 。 本 例 设 为 600 f. 


@ IN SOA seugrid3.seu.edu.cn. zawu.seu.edu.cn. ( 
2007101801 
28 800 
14 400 
720 000 
86 400 
) 


这 段 语句 是 关于 SOA 的 设 定 ， 何 谓 SOA 呢 ? SOA X Start of Authority 的 缩写 ， 它 是 
X DNS 服务 器 必须 要 设 定 的 选项 ， 记 录 了 这 个 DNS 服务 器 是 主 DNS 服务 器 ， 并 定义 了 域 
名 数据 库 文件 的 各 种 属性 。 

@INSOA 是 固定 不 变 的 ,说 明 开 始 了 SOA 设 定 ; 接着 就 是 设 定 DNS 服务 器 的 主机 名 ， 
即 本 机 的 域名 ， 注 意 名 字 后 要 加 句号 “.”， 这 个 句号 经 常 容 易 被 忽略 ， 一 旦 忽略 named 服 
务 将 无 法 启动 ， 本 例 中 设 为 seugrid3.seu.edu.cn.， 如 图 7-13 标注 部 分 所 示 。 然 后 是 设 定 管理 
员 E-mail， 由 于 @ 符 号 已 经 另 作 他 用 ， 因 此 这 里 用 “.” 代 替 @ 符 号 ， 读 者 也 可 以 根据 实际 
情况 设置 ， 无 特殊 要 求 。 括 号 中 设置 了 五 组 数字 ， 第 1 组 数字 2007101801 是 该 数据 库 文件 
的 序列 号 ， 读 者 可 以 任意 设置 ; 第 2 组 数字 用 于 开放 从 服务 器 的 情况 ， 表 示 隔 多 久 时 间 对 
从 服务 器 更 新 一 次 ; 第 3 组 数字 表示 ， 当 到 了 更 新 时 间 ， 如 果 连 接 不 上 从 服务 器 ， 隔 多 久 
再 次 尝试 与 从 服务 器 的 连接 ; 第 4 组 数字 表示 ， 当 一 直 连 接 不 上 从 服务 器 ， 隔 多 久 时 间 之 
后 ， 不 再 连接 从 服务 器 ， 而 判定 无 法 连接 从 服务 器 ; 第 5 组 数字 与 TIL 功能 一 样 ， 当 没有 
设 定 TIL 时 ， 这 个 数值 就 作为 TTL. 
SOA 设置 完毕 后 ， 就 可 以 建立 域名 与 瑟 的 映射 关系 了 。 首 先是 设 定 DNS 服务 器 的 名 称 ， 
格式 如 下 : [zone] IN NS [主机 名 称 ]， 如 果 有 多 个 DNS 服务 器 主机 ， 这 里 就 分 多 行 设 定 ， 如 
图 7-14 的 第 一 行 所 示 。 
接着 按照 格式 : [主机 名 ] IN A [IP 地 址 ]， 逐 行 写 出 本 域内 所 有 主机 和 IP 的 对 应 关系 。 由 于 
从 前 面 的 设 定 已 经 能 够 判定 域名 是 seu.edu.cn T, 因此 此 处 只 要 填 入 主机 名 即 可 ,如 图 7-14 
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后 面 三 行 所 示 。 


图 7-13 正 向 解析 数据 库 文件 的 SOA 设 定 


图 7-14 设 定 域名 与 IP 的 映射 关系 


的 点 评 与 拓展 : 再 次 提醒 读者 ， 在 正解 数据 库 文件 中 所 有 出 现 主 机 名 和 E-mail 的 地 
方 ， 最 后 都 要 加 上 句号 “.”， 这 与 我 们 一 般 的 习惯 不 一 样 ， 容 易 被 忽略 。 如果 没 有 句号 ， 
DNS 就 是 用 其 相对 名 称 ， 在 后 面 自动 加 上 域名 seu.edu.cn ， 比 如 本 例 中 DNS 将 把 
seugrid3.seu.edu.cn( 不 带 名 号) 理解 为 seugrid3.seu.edu.cn.seu.edu.cn。 


3. DNS 服务 器 的 反 向 解析 数据 库 文件 

正 向 解析 数据 库 文件 中 记录 了 域名 和 了 王 的 对 应 关系 ， 反 向 解析 数据 库 文件 则 记录 了 IP 
和 域名 的 对 应 下 面 讲述 本 例 中 如 何 创 建 named.172.18.12 文件 ， 以 实现 在 172.18.12.* 
网 段 内 的 反 解 。 
Q 反 向 解析 数据 库 文件 TIL 和 SOA 的 设 定 方法 与 正 向 解析 数据 库 文件 一 样 ， 只 是 序列 号 不 

能 设 为 相同 ， 至 于 语句 含义 在 此 不 再 详 述 ， 请 参考 上 一 节 步 又 ， 如 图 7-15 所 示 


图 7-15 反 向 解析 数据 库 文件 的 SOA 设 定 
Q 建立 IP 与 域名 的 反 向 映射 关系 时 , 同样 以 如 下 格式 : [zone] IN NS [主机 名 称 ]， 先 设 定 DNS 


服务 器 ， 如 图 7-16 第 一 行 月 然后 按照 格式 : [主机 名 ] IN PTR [IP 地 址 ]， 逐 行 写 出 本 IP 
XAA IP 和 主机 的 对 上 如 图 7-16 所 示 ， 可 以 看 到 这 里 仅 写 了 IP 的 最 后 一 个 分 位 ， 
因为 我 们 在 /etcnamed.conf 这 个 配置 文件 中 已 经 设 定好 反 向 解析 的 网 段 了 ， 即 172.18.12。 


如 果 /etc/named.conf 的 设 定 为 172.18， 那 么 此 处 就 需要 写 入 IP 地 址 的 最 后 两 个 分 位 。 
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IN NS 
IN PTR 
IN PTR 


图 7-16 REIP 与 域名 的 映射 关系 


4. DNS 服务 器 的 启动 与 观察 


在 对 DNS 服务 器 端 设置 完毕 后 ， 本 节 讲 述 如 何 启动 named 服务 ， 及 如 何 确定 named 


服务 成 功 启动 。 
o 输入 下 面 命令 启动 named 服务 ， 如 图 7-17 所 示 。 关 闭 、 重 启 named 服务 ， 查 看 named 服 


务 状态 等 命令 格式 亦 列 于 下 广 . 
/etc/init.d/named start 


/etc/init.d/named (stoplrestart|reload|condrestart|status] 


7-17 ”启动 named 服务 


DNS 服务 的 默认 端口 是 53, 输入 下 面 命令 查看 是 否 有 启动 在 53 号 端口 的 监听 进程 . 图 7-18 
中 的 标注 部 分 显示 了 两 个 进程 ， 这 两 个 进程 就 是 named 服务 。 


netstat -utln | grep 53 


图 7-18 named 服务 监听 进程 


此 时 再 看 看 日 志 面 命令 查看 /var/log/messages 日 志文 件 的 最 后 15 行 , 如 图 7-19 
所 示 。 可 以 看 到 第 一 个 标注 部 分 显示 了 named 服务 在 哪 几 块 网 卡 上 监听 ， 第 二 个 标注 部 分 
记录 了 named 服务 所 载 入 的 zone 数据 库 文件 ， 再 看 看 序列 号 ， 正 是 刚才 所 创建 的 
named.seu.edu.cn 和 named.172.18.12 文件 


tail -n 15 /var/log/messages 


外 点 评 与 拓展 : named 服务 的 启动 类 似 于 dhepd 服务 ， 并 不 是 启动 时 显示 OK 就 表 


示 服 务 启动 成 功 ， 需 要 从 端口 监听 进程 和 日 志文 件 来 观察 。 另 外 ,日 志文 件 还 会 提供 named 
服务 启动 不 成 功 时 的 错误 信息 。 
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图 7-19 named 服务 日 志 信 息 


7.3 DNS 主 从 服务 器 的 配置 


应 用 实例 导航 一 一 A 公司 DNS 主 从 服务 器 的 架设 


※ 场 景 呈现 

A 公司 架设 好 根 DNS 服务 器 后 ， 发 现 一 台 DNS 服务 器 负载 太 重 ， 不 能 快速 响应 用 户 
的 DNS 查询 请 求 ， 需 要 配置 一 台 从 服务 器 以 减轻 主 DNS 服务 器 的 负担 。 

从 服务 器 的 IP 地 址 为 172.18.12.146， 要 求 同 样 能 够 实现 网 段 172.18.12.* 中 的 正 向 解析 
和 反 向 解析 功能 。 

※ 技 术 要 领 

(1) 主 服务 器 开放 从 服务 器 权限 。 

(2) 从 服务 器 的 配置 和 启动 。 


7.3.1 Æ DNS 服务 器 权限 的 开放 


首先 需要 在 主 DNS 服务 器 上 开放 从 DNS 服务 器 权限 ， 通 过 设置 /etc/named.conf 允许 
zone 资料 的 传送 ， 还 要 在 正 反 解数 据 库 文 件 中 添加 从 DNS 服务 器 的 相关 信息 。 具 体 主 服务 
器 端的 配置 步骤 如 下 。 
(1) 打开 /etc/mamed.conf 文件 , 找到 正 反 解 zone 的 设置 部 分 , 添加 allow-transfer 语句 , 如 图 7-20 
所 示 。allow-transfer 可 以 带 多 个 从 DNS 服务 器 地 址 参数 ， 中 间 用 封号 隔 开 。 本 例 只 设置 一 
个 地 址 ， 因 此 语句 为 : 


allow-transfer(172.18.12.146;]; 


从 服务 器 如 果 要 提供 查询 功能 , 必须 要 有 DNS 服务 器 的 正 向 解析 数据 库 文件 和 反 向 解析 数 
据 库 文件 ， 而 这 两 个 文件 又 必须 与 主 服 务 器 一 样 ， 因 此 ， 通 常 直 接 从 主 服务 器 将 这 两 个 文 
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件 传送 到 从 服务 器 的 chroot 目录 下 。 上 面 这 条 语句 就 是 允许 主 服务 器 将 正 反 解 的 zone 文件 
传送 到 地 址 为 172.18.12.146 的 从 服务 器 。 


图 7-20 allow-transfer 设 定 


O 在 正 向 解析 数据 库 文件 中 添加 从 服务 器 地 址 和 主机 名 相关 内 容 ， 如 图 7-21 标注 部 分 所 示 。 
格式 与 设 定 主 服务 器 一 样 ， 以 NS 为 标记 


2007101801 


图 7-21 正解 数据 库 文件 设 定 
Q 在 反 向 解析 数据 库 文 件 中 作 类 似 的 设置 ， 如 图 7-22 标注 部 分 所 示 


07-2 反 解 数据 库 文件 设 定 


7.3.2 ”从 服务 器 的 配置 


从 服务 器 端的 设置 很 简单 ， 因 为 不 涉及 正 反 向 解析 数据 库 文件 的 设 定 ， 只 需 在 
letc/named.conf 中 作 简 单 设 定 即 可 完成 ， 具 体 步骤 如 下 。 
Q 登录 172.18.12.146 这 台 主机 ， 打 开 /etc/named.conf 文件 ，DNS 服务 器 的 总 设 定 部 分 与 根 服 
务 器 类 似 ， 所 不 同 的 是 zone 部 分 的 设 定 。 在 7.2.3 节 中 讲 到 zone 的 类 型 时 ， 其 中 包含 一 种 
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类 型 叫 slave 类 型 ， 这 就 是 指定 了 服务 器 为 从 DNS 服务 器 ， 因 此 从 服务 器 的 type 就 设 定 为 
slave， 并 且 相应 地 设 定 主 服 务 器 的 地 址 ， 如 图 7-23 标注 部 分 所 示 。 

本 例 的 设置 表示 该 台 服务 器 为 从 服务 器 ， 主 服务 器 的 地 址 是 172.18.12.179， 正 向 解析 数据 
库 的 文件 为 named.seu.edu.cn， 反 向 解析 数据 库 文件 为 named.172.18.12。 


u.edu.cn" 


图 7-23 反 解 数据 库 文件 设 定 
e 对 /etc/named.conf 设置 完毕 后 ， 就 可 以 启动 从 服务 器 的 named 服务 ， 如 图 7-24 所 示 


图 7-24 启动 从 服务 器 


© 从 服务 器 端 named 服务 启动 之 后 ,会 自动 向 主 DNS 服务 器 端 发 请 求 复制 正 反 解数 据 库 文件 ， 
如 果 过 一 段 时 间 能 在 /varnamed/chrootvarnamed 目录 中 看 到 named.seuedu.en 和 
named.172.18.12 两 个 文件 ， 则 表示 从 服务 器 配置 和 启动 成 功 ， 如 图 7-25 标注 部 分 所 示 。 


图 7-25 传送 来 的 正 反 解 文件 


o Ao & Æ /var/named/chroot/var/named 目录 长 时 间 看 不 到 正 反 解数 据 库 文件 ， 则 查看 
/var/log/messages 日 志文 件 ， 可 能 会 出 现 如 图 7-26 标注 部 分 所 示 的 错误 . 那么 再 次 查看 主 从 
DNS 服务 器 端的 配置 ， 看 是 否 有 配置 文件 的 设 定 错误 ; 确定 配置 无 误 后 ， 还 需要 查看 防火 
墙 设 定 ， 看 53 号 端口 是 否 被 关闭 。 


LOYER: 主 从 DNS 服务 器 设 定 的 差别 主要 在 于 zone 设 定 中 的 类 型 不 一 样 ， 
主 服务 器 为 master 类 型 ， 从 服务 器 为 slave 类 型 。 在 对 主 DNS KE 设 定时 要 注意 对 正 
反 解 数据 库 文 件 的 设 
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图 7-26 传送 失败 的 日 志文 件 


74 DNS 客户 端的 配置 


应 用 实例 导航 A 公司 DNS 客户 端的 配置 与 测试 


XREN 


A 公司 架设 好 主 从 DNS 服务 器 后 , 接着 就 要 对 客户 端 进行 配置 , 客户 端 包 括 Windows, 
Linux 两 种 服务 器 ， 并 需要 在 Linux 客户 端 对 172.18.12.179 3X & DNS 服务 器 进行 正 反 解 析 
测试 。 

试 分 别 写 出 配置 Windows 和 Linux 客户 端的 步骤 ， 并 利用 Linux 提供 的 host, nslookup 
和 dig 命令 对 DNS 服务 器 端 进行 测试 。 


※ 技 术 要 领 
(1) Windows 客户 端的 配置 。 
(2) Linux 客户 端的 配置 。 
(3) host、nslookup 和 dig 命令 的 使 用 。 


完成 DNS 服务 器 端 ， 包 括 Cache-only、DNS 主 服 务 器 和 从 服务 器 的 配置 以 后 ， 本 节 介 
绍 Linux 和 Windows 客户 端的 DNS 配置 ， 以 及 Linux 系统 下 几 个 常用 的 测试 DNS 服务 器 


的 命令 。 
7.4.1 Linux 客户 端的 DNS 配置 


本 节 介 绍 Linux 客户 端的 DNS 配置 步骤 。 

o DNS 客户 端的 配置 涉及 三 个 配置 文件 ,分 别 为 /etc/hosts、 /etc/resolv.conf fu/etc/nsswitch.conf, 
letc/hosts 文件 已 经 提 及 多 次 ， 它 记录 了 IP 地 址 与 主机 域名 的 对 应 关系 ， 提 供 了 与 DNS 数 
据 库 同样 的 功能 ; /etc/resolv.conf 记录 了 DNS 服务 器 的 地 址 , 即 发 送 DNS 查询 请 求 的 地 址 ; 
letc/nsswitch.conf 文件 设 定 了 是 先 查 询 /etc/hosts 文件 ,还 是 先 使 用 /etc/resolv.conf 提供 的 DNS 
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服务 器 地 址 发 送 请 求 ， 通 常设 为 先 /etc/hosts 后 /etc/resolv.conf， 在 /etc/nsswitch.conf 中 的 设 定 
如 图 7-27 所 示 。 


图 7-27 letc/nsswitch.conf 主机 查询 设 定 
© 将 客户 端 所 知道 的 DNS 服务 器 地 址 写 入 /etc/resolv.conf 文件 中 ， 如 图 7-28 所 示 。 本 例 仅 写 
了 一 个 ， 即 上 面 配置 过 的 172.18.12.179， 一 般 写 入 2—3 个 DNS 服务 器 地 址 比较 合适 ， 这 
样 既 防 止 单个 服务 器 的 不 可 用 ， 又 不 浪费 查询 时 间 。 


7-28 letc/resolv.conf 设 定 


7.4.2 Windows 客户 端的 DNS 配置 


本 节 介 绍 Windows 客户 端的 DNS 配置 步骤 。 

Q 在 Windows 下 配置 DNS 客户 端的 方法 也 很 简单 ， 右 击 【 网 上 邻居 】 图 标 ， 在 弹出 的 快捷 
菜单 中 选择 【属性 】 命 令 ， 弹 出 【网 络 连 接 】〗 窗 口 。 右 击 【 本 地 连接 】〗 图 标 ， 在 弹出 的 快 
捷 菜 单 中 选择 【属性 】 命 令 ， 弹 出 【本 地 连接 属性 】〗 窗 口 ， 如 图 7-29 ES 
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连接 时 使 用 
Hj Realtek RILS139 Family PCI Fa: REO. 


此 连接 使 用 下 列 项 目 W 


回 "7i crosoft TCP/IP 版 本 6 ^ 
v kgs cel CEEE 802. 1x) v3.0.0. 


a (TCP/IP) 


aa E E 
A 是 默认 的 广域网 协议 。 它 提供 跨 


回 连 接 后 在 通知 区 域 显 示 图 标 @@) 
[v] 此 这 接 被 限制 或 无 连接 时 通知 我 亿 ) 
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Q 在 【本 地 连接 属性 】 窗 口中 选中 【Intemet 协议 (TCP/IP)】 复 选 框 ， 然 后 单 击 【 属 性 】 按 钮 ， 
如 图 7-29 标注 部 分 所 示 。 此 时 系统 会 打开 【Intemet 协议 (TCP/IP) 属 性 】 对 话 框 ， 如 图 7-30 
所 示 。 选 中 【使 用 下 面 的 卫 地 址 】〗 单 选 按 钮 ， 然 后 在 【首选 DNS 服务 器 〗 和 【备用 DNS 
服务 器 】 文 本 框 中 输入 DNS HARE US TP 地 址 ， 单 击 【和 确定】 按钮 即 可 完成 Windows 下 的 
DNS 客户 端的 配置 。 


LE ———— Es 
n 以 by 设置 。 ERI. 
C A e 
侣 自动 获得 TP Hi W 
回 使 用 下 面 的 r 地 址 G) 
IP 地 址 CI) 172 .18 .12 .140 
子 网 掩 码 255 .255 .255 .128 
BUAR W 172 .18 . 12 129 
SAFS DNS 服务 器 地 
全 合用 下 面 的 DNS 服务 器 地 址 QD 
1am san0: 
备用 DNS 服务 器 (A); 202 .119 .24 .18 
WE | wm 
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74.3 DNS 客户 端的 测试 命令 


完成 DNS 客户 端的 简单 配置 后 ， 本 节 介 绍 几 个 常用 的 DNS 服务 器 测试 命令 ， 分 别 是 
host、nslookup 和 dig 命令 。 

首先 介绍 host 命令 ， 该 命令 提供 了 查询 DNS 服务 器 信息 和 提交 域名 查询 IP. 或 提交 IP 
查询 域名 等 功能 ， 使 用 下 面 命令 来 查询 DNS 服务 器 信息 ， 结 果 如 图 7-31 所 示 。 


host -a 172.18.12.179 


-a 参数 表示 列 出 DNS 服务 器 的 所 有 信息 ， 包 括 正解 反 解 信息 、TIL、 卫 信息 等 。 
host 查询 命令 的 格式 为 : 


host [需要 查询 的 域名 或 IP] [DNS 服务 器 地 址 ] 


如 图 7-32 所 示 ， 从 DNS 服务 器 172.18.12.179 上 查询 域名 为 seugrid2.seu.edu.cn 这 台 主 
机 的 他 地 址 .图 7-32 的 标注 部 分 显示 该 请 求 发 送 到 了 172.18.12.179 DNS 服务 器 的 53 端口 ， 
返回 结果 为 seugrid2.seu.edu.cn， 这 人 台 主 机 的 IP 地 址 是 172.18.12.178。 图 7-33 显示 了 查询 
seugrid1.seu.edu.cn 这 人 台 主 机 的 命令 和 返回 结果 ， 这 两 台 主机 的 IP 对 应 关系 都 是 我 们 在 正 向 
解析 数据 库 文件 中 设置 过 的 ， 返 回 结果 与 其 一 致 。 
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图 7-32 ”查询 seugrid2.seu.edu.cn 


图 7-33 ”查询 seugrid1.seu.edu.cn 

其 次 ， 介 绍 nslookup 命令 ，nslookup 命令 是 DNS 服务 器 的 主要 测试 工具 ， 它 提供 了 执 
行 DNS 服 务 器 查询 测试 并 获取 详细 信息 。 使 用 nslookup 命令 可 以 诊断 和 解决 名 称 解析 问题 、 
i 记录 是 否 在 区 域 中 正确 添加 或 更 新 以 及 排除 其 他 服务 器 的 其 他 问题 .nslookup 有 两 
非 交 互 式 和 交互 式 。 
命令 在 非 交互 式 正 向 查询 的 命令 格式 为 : 


nslookup 命令 


nslookup [ 需 查 询 的 域名 ] [DNS 服务 器 地 址 ] 


下 向 查询 例子 如 图 7-34 所 示 。 非 交互 式 反 向 查询 的 命令 格式 为 : 


nslookup [ 需 查询 的 IP] [DNS 服务 器 地 址 ] 


反 向 查询 例子 如 图 7-35 所 示 。 
在 这 个 例子 中 ， 直 接 输入 nslookup 命令 则 进入 交互 模式 ， 出 现 “>” 提 示 符 ， 比 如 我 们 


想 查 询 www.sina.com 的 IP 地 址 ， 可 以 直接 输入 www.sina.com， 如 图 7-36 所 示 ，nslookup 


连接 到 172.18.12.179 这 台 DNS 服务 器 上 查询 ， 并 返回 查询 结果 。 
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图 7-36 nslookup 命令 交互 模式 


最 后 介绍 dig 命令 ，dig 命令 提供 了 更 为 强大 的 功能 ， 除 了 给 出 所 要 查询 的 结果 外 ， 还 
会 附带 查 出 域内 其 他 的 相关 信息 。 如 图 7-37 所 示 ， 利 用 dig 命令 查询 seugridl.seu.edu.cn E 
IP, ANSWER SECTION 部 分 给 出 了 精确 的 查询 结果 ，AUTHORITY SECTION 部 分 给 出 
seu.edu.cn 域内 的 其 他 主机 名 ，ADDITIONAL SECTION 中 还 给 出 了 正解 数据 库 文件 : ut 
的 其 他 主机 名 和 IP. 的 对 应 关系 。 


加 点 评 与 拓展 : 本 节 只 是 介绍 了 host. nslookup 和 dig 命令 的 基本 用 法 ,更 多 的 扩展 
用 法 请 读者 在 实践 中 体会 。 
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图 7-37 dig 命令 


7.5 本 章 小 结 


本 章 首先 介绍 了 DNS 的 层次 式 域名 结构 、DNS 查询 等 基本 原理 ; 然后 从 两 类 最 简单 的 
DNS 服务 器 Cache-only 和 Forwarding 服务 器 出 发 ， 逐 步 深入 地 介绍 根 DNS 服务 器 及 其 从 
服务 器 的 配置 ， 最 后 介绍 DNS 客户 端的 配置 和 测试 。 通 过 阅读 本 章 ， 读 者 不 仅 需 要 了 解 
DNS 的 基本 原理 和 Cache-only 和 Forwarding 服务 器 的 特点 和 意义 ,更 为 重要 的 是 学 会 配置 
根 DNS 服务 器 及 其 从 服务 器 ， 并 能 够 使 用 一 些 客户 端 命令 测试 所 配置 的 DNS 服务 器 是 否 
能 够 正常 工作 。 


随 着 Internet Web 服务 的 飞速 发 展 ， 企 业 机 构 、 政 府 部 门 、 高 等 院 校 、 科 研 院 所 等 众多 
企 事 业 单位 都 在 积极 构建 自己 的 网 站 。 由 于 Web 服务 是 实现 诸多 网 络 应 用 的 基础 平台 ， 配 
置 和 架设 Web 服务 器 是 构建 nternet 和 Intranet 非常 关键 的 工作 。 本 章 主 要 介绍 如 何 使 用 
Apache 和 Tomcat 服务 器 软件 来 架设 Web 服务 器 ， 并 介绍 如 何 利 用 Eclipse 开发 基于 JSP 的 
Web 工程 及 其 在 Web 服务 器 上 的 部 署 工作 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 基本 内 容 : 

* Web 服务 的 基本 工作 原理 
Apache 服务 器 的 安装 、 配 置 和 启动 
Tomcat 服务 器 的 安装 、 配 置 和 启动 
使 用 MyEclipse 开发 Web 工程 
Tomcat 服务 器 上 Web 工程 的 部 署 
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8.1 Web 服务 概述 


Web 服务 是 互联 网 上 最 为 重要 的 应 用 ， 是 实现 信息 发 布 、 资 料 查询 、 数 据 处 理 等 诸多 
应 用 的 基本 平台 ， 它 使 用 Hypertext( 超 级 链接 ) 方 式 将 信息 通过 Intemet 传播 到 各 地 。 

WWW(World Wide Web， 万 维 网 ) 的 目的 就 是 更 容易 获取 信息 ， 而 不 管 信息 的 实际 所 在 
地 理 位 置 。 当 万 维 网 使 用 超 文本 作为 文档 的 标准 格式 后 ， 人 们 开发 了 可 以 快速 获取 这 些 超 
文本 文档 的 协议 一 一 HTTP 协议 ( 即 超 文本 传输 协议 )。 

HTTP 协议 是 应 用 级 协议 ， 主 要 用 于 分 布 式 协作 的 信息 系统 。HTTP 协议 是 通用 无 状态 
的 , 其 系统 建设 和 传输 的 数据 无 关 。HTTP 协议 也 是 面向 对 象 的 协议 , 可 用 于 包括 名 字 服 务 、 
分 布 式 对 象 管理 、 请 求 方法 的 扩展 、 命 令 等 各 种 任务 。 

在 互联 网 上 ，HTTP 通信 通常 发 生 在 TCP/IP 连接 上 ， 其 默认 端口 为 80， 当 然 也 可 使 用 
其 他 端口 。 

Web 服务 采用 Client/Server( 客 户 /服务 器 ) 模 型 来 实现 。 客 户 端 运行 Web 浏览 器 程序 来 济 
览 万 维 网 ， 浏 览 器 为 用 户 提供 了 良好 的 用 户 界 面 。 浏 览 器 的 作用 是 解释 和 显示 Web 页 面 ， 
响应 客户 请 求 ， 并 通过 HTTP 协议 将 客户 请 求 传递 给 Web 服务 器 。Web 服务 器 一 端 运行 服 
务 器 程序 ， 其 基本 功能 是 检测 和 响应 客户 端的 HITP 请 求 ， 并 向 客户 端 发 送 处 理 结果 。 

Web 服务 通常 分 为 两 种 : 静态 Web 服务 和 动态 Web 服务 。 所 谓 静态 Web 服务 ， 就 是 
服务 器 只 是 把 存储 的 文档 发 送 给 客户 端 浏 览 器 ， 此 过 程 中 传送 的 网 页 不 会 发 生变 化 ， 除 非 
网 页 制作 人 员 利 用 制作 工具 对 网 页 进行 了 修改 。 而 动态 Web 服务 则 能 够 实现 客户 端 浏 览 器 


m Linux 服务 器 架设 与 管理 加 
和 服务 器 之 间 的 交互 。Web 服务 器 使 用 CGI、ASP、PHP 和 JSP 等 动态 网 站 技术 向 浏览 器 
发 送 动态 内 容 。 针 对 客户 端 浏 览 器 发 出 的 请 求 ，Web 服务 器 在 服务 器 端 执行 完 响 应 程序 ， 
组 织 好 文档 后 再 将 结果 发 回 至 客户 端 。 
Q Web 服务 使 用 HTTP( 超 文本 传输 协议 )， 该 协议 是 一 个 TCP/IP 协议 基础 上 的 应 用 级 协议 ， 
其 具体 工作 原理 如 图 8-1 所 示 。 
Web 客户 端 浏览 器 使 用 HTTP 命令 向 Web 服务 器 发 出 页 面 请 求 。 


加 客户 端 发 送 一 个 请 求 


@@ 客 户 端 与 服务 器 端 建立 连接 
服务 器 端 


回 服务 器 端 将 所 请 求 的 
结果 传 给 客户 端 


图 客户 端 浏览 器 显示 结果 
加 客户 端 关闭 此 连接 


8-1 Web 服务 工作 原理 


© 若 服务 器 在 特定 端口 (通常 为 TCP80 端口 ) 接 收 到 页 面 请 求 ， 则 发 出 一 个 应 答 ， 并 在 客户 端 
和 服务 器 之 间 建 立 连接 。 

© Web 服务 器 查找 客户 端 所 请 求 的 文档 。Web 服务 器 查找 到 所 需 文档 后 ， 就 会 将 文档 传 给 客 
户 端 浏览 器 。 若 该 文档 不 存在 ， 则 Web 服务 器 就 会 发 送 一 个 错误 提示 给 客户 端 。 

外 客户 端 浏览 器 接收 到 文档 后 ， 显 示 文 档 。 

@@ 窜 户 端 浏览 完毕 后 ， 断 开 与 服务 器 的 连接 。 


8.2 Apache 的 安装 、 配 置 和 启动 


Apache( 阿 帕 奇 ) 服 务 器 最 初 是 由 llinois 大 学 Urbana-Champaign 的 国家 高 级 计算 程序 中 
心 开发 ， 后 来 被 开放 源 代码 团体 的 成 员 不 断 发 展 完善 。 起 初 ，Apache 只 是 Netscape 网 页 服 
务 器 之 外 的 开放 源 代码 选择 。 但 它 逐 渐 在 速度 和 功能 上 超越 其 他 Web 服务 器 。20 世纪 90 
年 代 中 期 以 来 ， 由 于 Apache 服务 器 很 强 的 可 靠 性 ， 使 其 成 为 最 流行 的 Web 服务 器 。 

据 相 关 调 查 资料 显示 ， 截 止 2005 年 10 H, Apache 的 市 场 占有 率 约 为 70%， 同 期 IS 
的 市 场 占有 率 却 只 有 20% 左 右 。 由 此 可 见 Apache 增长 速度 之 迅速 ， 其 最 大 竞争 者 一 一 微软 
IIS 与 其 竟 也 有 如 此 大 的 差距 。 

Apache 能 发 展 如 此 迅速 , 是 与 其 突出 优点 紧密 相关 的 。 首先, Apache 能 在 UNIX, Linux 
和 Windows 等 诸多 操作 系统 平台 之 上 运行 。 其 次 , 开放 源 代码 的 Apache 得 到 全 世界 许多 杰 
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出 程序 员 的 支持 ， 他 们 为 Apache 编写 了 一 系列 强大 的 功能 模块 ， 使 Apache 能 够 无 限 扩展 。 
并 且 ，Apache 的 工作 性 能 和 稳定 性 远 远 超越 了 其 他 同类 产品 。 因此, 广泛 使 用 Apache 作为 
Web 服务 器 软件 是 非常 必然 的 。 

本 节 介 绍 Apache 这 种 流行 Web 服务 器 的 安装 、 配 置 与 启动 。 


8.2.1 Apache 的 安装 


首先 介绍 如 何 安装 Apache 服务 器 ， 具 体 步 骤 如 下 。 

o Apache 是 免费 软件 ， 可 以 到 官方 网 站 www.apache.org 下 载 。 8-2 显示 了 该 网 站 的 中 国 镜 
像 站 点 的 下 载 页 面 ， 上 面 有 很 多 其 他 Linux 系统 软件 安装 包 ， 而 且 下 载 速度 较 快 , 建议 读者 
使 用 。 将 apache 1.3.39.fargz 下 载 到 Windows 系统 后 ， 可 以 通过 SSH shell 所 提供 的 FTP 
功能 上 传 到 服务 器 /usrlocal 目录 下 ， 如 图 8-3 所 示 。 


8-3 SSH 传输 界面 
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Q 将 安装 包 上 传 到 服务 器 后 ， 首 先 使 用 下 面 命令 将 安装 包 解压 缩 ， 如 图 8-4 所 示 。 


tar -zxvf apache 1.3.39.tar.gz 


gi-bin, 
cgi-bin/printenv 


图 8-4 解压 缩 安装 包 

e Apache 这 种 类 型 的 安装 包 ， 需 要 在 Linux 系统 下 手动 
令 配置 安装 中 的 一 些 参 需要 指定 安装 目录 ， 以 命 

图 8-5 所 


行 配置 、 编 译 、3 
数 --prefix 开头 ，3 


装 。 输 入 下 面 命 
行 结果 如 


./configure --prefix-/usr/local/apache 


or Apaci 
tallation path lay 


data types 
ompiler and optior 


图 8-5 Rif Apache 安装 包 


行 结果 如 图 8-6 fra 


O 输入 下 面 命令 编译 Apache 安装 包 ， 


make 


L NEEDED 
DL NEEDED 


图 8-6 ”编译 Apache 安装 包 
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Q 输入 下 面 命令 完成 Apache 的 安装 ， 运 行 结果 如 图 8-7 所 示 。 


make install 


图 8-7 安装 Apache 安装 包 


虽 点 评 与 拓展 : Linux 系统 下 的 解压 过 后 的 安 下 如 果 有 configure 这 个 可 执行 文 
件 ， 一 般 都 按照 上 述 步骤 安装 。 


8.22 Apache 的 配置 和 启动 


Apache 服务 器 最 大 的 优点 就 是 其 配置 的 灵活 性 , 所 有 Apache 配置 都 使 用 一 个 文件 , 即 
httpd.conf， 该 文件 保存 在 目录 /etc/httpd/conf 下 ， 文 件 中 的 设置 许多 都 只 需 使 用 默认 值 。 我 
们 在 本 节 对 httpd.conf 的 一 些 主要 配置 进行 说 明 。 
© 使 用 vi 命令 打开 Apache 的 配置 文件 httpd.conf 后 ， 文 件 的 第 一 部 分 是 全 局 配置 部 分 。 经 党 

需要 修改 的 是 Timeout 和 MaxKeepAliveRequests 两 个 参数 ,如 图 8-8 标注 部 分 所 示 。. Timeout 

记录 了 每 个 操作 的 最 大 超时 时 间 ; MaxKeepAliveRequests 记录 允许 一 个 客户 端 连接 同时 能 

发 出 的 最 大 请 求 数 ， 如 果 设 置 为 0 表示 没有 限制 ， 值 越 高 服务 器 对 客户 端的 服务 性 能 就 越 

高 ， 但 是 服务 器 负载 越 大 ， 建 议 根 据 服 务 器 的 承受 能 力 选取 合适 的 值 。 


图 8-8 配置 Timeout 和 MaxKeepAliveRequests 

全 局 配置 的 MaxClients 记录 了 人 允许 同时 连接 的 客户 端 数量 ， 如 图 8-9 标注 部 分 所 示 。 如 果 
发 现在 使 用 期 间 大 量 出 现 了 拒绝 客户 端的 连接 ， 则 可 以 尝试 增加 该 数值 ; 如 果 发 现 服务 器 
在 该 期 间 锁 定 了 或 速度 变 慢 ， 则 可 以 尝试 降低 该 数值 
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ers: initial number of 
maximum numb f 


8-9 配置 MaxClients 


© 接 下 来 我 们 讲述 配置 主 服 务 器 部 分 ， 首 先是 设置 ServerAdmin 的 E-mail 地 址 ， 便 于 访 | 
通知 Web 站 点 所 出 现 的 问题 ， 


^ 
个 


者 
立 将 此 处 改 为 用 户 自己 的 E-mail 地 址 ， 如 图 8-10 所 示 。 

ServerName 设置 主机 名 ， 这 个 设置 很 重要 ， 如 果 设 置 错误 ， 客 户 端 无 法 通过 主机 名 解析 到 
IP 地 址 ， 这 个 主机 名 必须 是 在 /etc/hosts 配置 文件 中 设置 过 的 有 效 主机 名 ， 这 样 才能 像 DNS 
服务 一 样 将 主机 名 映射 到 IP 地 址 。 如 图 8-11 所 示 /etc/hosts 中 将 主机 名 seugrid3 5 IP 地 址 
172.18.12.179 绑 定 后 ， 在 httpd.conf 中 才 可 以 将 ServerName 设 为 seugrid3， 如 图 8-10 的 标 
注 部 分 所 


图 8-11 etc/hosts 配置 文件 
Q Apache 的 主 服务 器 端 配置 部 分 的 另 一 个 重要 配置 就 是 配置 存放 网 页 HTML 等 文档 的 目录 ， 
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它 记 录 在 参数 DocumentRoot 中 ， 我 们 设置 为 /Var/www/html， 也 就 是 说 ,我 们 只 有 把 所 有 的 
HTML 文件 放 入 此 目录 ， 才 能 找到 Apache， 如 图 8-12 所 示 。 


umentRoot "/var/www/html" 


图 8-12 配置 DocumentRoot 


o DirectoryIndex 记录 了 DocumentRoot 中 的 首页 名 称 和 顺序 ， 用 户 需 要 将 网 站 首页 的 HTML 
的 名 字 填 入 此 处 ， 如 图 8-13 所 示 。 当 客户 端 试图 连接 Apache 的 站 点 时 ，Apache 进行 检查 
是 否 有 定义 的 DirectoryIndex， 它 按 顺 序 逐 一 检查 每 个 已 命名 的 文件 ， 优 先 选择 排 在 前 面 的 
文件 ， 图 8-13 中 所 示 优 先 选择 index.html。 如 果 index.html 和 index.html.var 都 不 存在 ， 将 
返回 403 “禁用 ”错误 或 一 个 目录 索引 。 


8-13 配置 DirectoryIndex 


图 


这 个 命令 的 几 种 使 


© 使 用 下 面 命令 可 以 启动 、 停 止 、 重 启动 Apache 服务 器 ， 图 8-14 j 
运行 的 Apache 


用 格式 。 其 中 ，/etc/re.d/init.d/httpd status 是 查看 Apache 服务 器 的 
服务 器 启动 了 8 个 进程 ;/etc/re.d/init.d/httpd reload 是 重读 配置 文件 ， " 新 载 入 httpd 服务 


/etc/rc.d/init.d/httpd (stoplstart|restart|reload|status|help....) 


图 8-14 Apache 服务 器 的 启动 与 停止 


Q 为 了 测试 Apache 服务 器 ， 我们 写 了 个 简单 的 HTML 文件 ，index.html， 如 图 8-15 所 示 ， 并 


将 其 部 署 到 Apache 服务 器 ，HTML 的 详细 规范 请 参考 有 关 资 料 。 编 辑 完 index.html 后 ， 将 
其 复制 到 前 面 设置 的 DocumentRoot 目录 中 。 打 开 浏览 器 ， 输 入 http:Wlocalhost，Apache 自 


位 到 index.html， 显 示 结 果 如 图 8-16 所 示 。 


动 定 
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图 8-15 index.html 文件 


It is Apache FrontPage 


Welcome yout 


ak] 


8-16 测试 Apache 服务 器 


的 点 评 与 拓展 : Apache 服务 器 启动 命令 与 前 面 几 章 讲述 的 一 些 服务 的 启动 命令 略 有 
不 同 ， 细 微 之 处 ， 不 可 不 察 。 


8.3 Tomcat 的 安装 和 启动 


应 用 实例 导航 


人 A 公司 Tomcat 服务 器 架设 


Xam EG 
A 公司 需要 架设 Tomcat 服务 器 ， 以 提供 对 动态 JSP 网 页 的 支持 ， 这 个 Tomcat 服务 器 
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可 以 通过 Web 的 形式 来 管理 它 。 
要 求 安装 和 配置 Tomcat 服务 器 以 满足 以 上 要 求 ， 假 设 需要 将 Tomcat 管理 员 账 号 设 定 
为 admin， 密 码 也 为 admin。 
(1) J2DK 的 安装 。 
(2) Tomcat 的 安装 、 配 置 与 启动 。 
(3) Tomcat 管理 用 户 的 配置 。 


Tomcat 是 基于 Java 的 ， 运 行 Servlet 和 JSP Web 应 用 软件 的 开放 源 代码 Web 应 用 软件 
容器 , 它 主要 是 由 Apache, Sun 及 其 他 一 些 公司 共同 开发 而 成 ,并且 是 Apache 基金 会 Jakarta 
项 目 中 的 一 个 主要 项 目 。Sun 的 参与 和 支持 , 使 得 Tomcat 在 相当 程度 上 体现 了 最 新 的 Servlet 
和 JSP 规范 。 由 于 Tomcat 是 根据 Servlet 和 JSP 规范 执行 的 ， 所 以 可 以 说 Tomcat 也 实行 了 
Apache-Jakarta 规范 ， 且 比 许多 同类 应 用 软件 要 好 。 

尽管 Tomcat 可 以 独立 作为 Web 服务 器 运行 ， 但 Tomcat 的 Web 功能 远 没 有 Apache 强 
K, 所 以 在 实际 应 用 中 是 通过 mod 让 2 连接 器 (connetors) 将 Apache 和 Tomcat 整合 在 一 起 提 
供 服务 。 

与 Apache 相 比 ，Tomecat 不 仅 支持 HTML 静态 网 页 ， 而 且 还 提供 对 JSP 动态 网 页 的 支 
持 。 由 于 Tomcat 功能 强大 、 运 行 效率 高 、 安 装 管理 方便 ， 因 此 它 已 经 成 为 了 目前 架设 Web 
服务 器 的 首选 软件 。 本 节 介绍 Tomcat 的 安装 、 启 动 及 其 相关 配置 。 


8.3.4. J2DK 的 安装 


在 安装 Tomcat 前 ， 必 须 先 安装 Sun 公司 的 JDDK， 即 Java 2 Development Kit(Java 开发 
工具 包 )。 它 是 一 种 用 于 构建 Java 平台 上 发 布 的 应 用 程序 、Applet 和 组 件 的 开发 环境 ， 是 一 
切 Java 应 用 程序 的 基础 ， 版 本 号 为 1.5_ 0 以 上 的 J2DK 已 经 可 以 满足 当前 Java 应 用 程序 的 
基本 需要 ， 本 节 以 15 0 04 版 本 为 例 介 绍 其 安装 过 程 。 安 装 包 可 以 到 官方 网 站 
http://Java.sun.com/j2se/1.5.0/download.jsp 下 载 ， 或 者 在 本 书 附 带 光 盘 中 找到 。 安 装 包 的 名 字 
为 : jdk-1_5_0_04-linux-i586.bin。 

@ 将 安装 包 复制 到 Linux 下 的 目录 ， 一般 为 /usr 目录 ， 然 后 为 该 文件 添加 运行 权限 ， 使 用 下 面 
命令 : 


chmod 700 jdk-1 5 0 04-linux-i586.bin 
然后 使 用 下 面 命令 运行 该 安装 包 : 
./ jdk-1 5 0 04-linux-i586.bin 


如 图 8-17 所 示 ， 输 入 安装 包 的 运行 命令 后 ， 安 装 程序 显示 Sun Mrcrosystems 的 协议 ， 按 
Enter 键 阅读 。 
O 阅读 完 协议 后 ， 安 装 程序 询问 用 户 是 否 接受 该 协议 ， 输 入 yes 接受 ， 如 图 8-18 所 示 。 


SOs 
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U ONLY U 
MINED IN THI 


sur und 


itional lic 
the Supplemental Li 


图 8-17 J2DK 安装 命令 


Sun Mi 
fornia 95054, 


图 8-18 ”接受 协议 


© 接受 协议 后 ， 安 装 程序 自 动 解压 并 安装 其 中 的 RPM 安装 包 ， 如 图 8-19 所 
husr 目录 下 出 现 了 jdkl 5 0 04 文件 夹 ， 这 就 是 NDK 的 安装 目 


ating 
sating 

ating J 5 

sating jdk 0 lata. jar 


idk-1 5 0 04-linux-i586 bin 


图 8-19 J2DK 的 安装 目录 


的 点 评 与 拓展 : Linux 系统 下 的 .b BARAME 装 包 都 类 似 于 NDK 的 安装 方法 ， 先 将 
安装 包 的 权限 设置 为 可 执行 ， 然 后 再 运行 该 安装 包 。 
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8.32 Tomcat 的 安装 和 配置 


安装 好 J2DK 后 ， 就 可 以 开始 安装 Tomcat 了 ， 较 新 的 Tomcat 版 本 是 5.0 以 上 的 版 本 ， 
安装 包 可 以 到 官方 网 站 http://jakarta.apache.org/site/downloads/downloads_tomcat-5.cgi 下 载 ， 
或 者 在 本 书 附带 光盘 中 找到 。 安 装 包 的 名 字 为 jakarta-tomcat-5.0.28.tar.gz。 本 节 就 以 5.0.28 
版 本 的 Tomcat 为 例 介绍 其 安装 过 程 ， 详 细 步骤 如 下 。 
Q 将 安装 包 复制 到 Linux 下 的 目录 ,一般 为 /uslocal 目录 ， 由 于 Tomcat 安装 包 是 rar 压缩 包 ， 
所 以 直接 解压 该 安装 包 即 可 ， 命 令 如 下 : 


tar -zxvf jakarta-tomcat-5.0.28.tar.gz 


解压 后 出 现 /asrlocaljakarta-tomecat-5.0.28 目录 ， 图 8-20 显示 了 Tomcat 的 安装 目录 结构 。 


图 8-20 Tomcat 的 安装 目录 结构 


O 安装 好 Tomcat 后 , 还 需要 设置 两 个 环境 变量 才能 正常 启动 Tomcat， 一 个 是 JAVA HOME, 
它 指向 Java 的 安装 目录 ， 利 于 其 他 应 用 程序 找到 J2DK; 另 一 个 是 CATALINA HOME, È 
指向 Tomcat 安装 目录 。 可 以 用 下 面 命令 设置 : 


export JAVA HOME-/usr/jdkl.5.0 04 
export CATALINA HOME-/usr/local/ jakarta-tomcat-5.0.28 


有 经 验 的 网 络 管理 员 通 常会 将 所 有 设置 环境 变量 的 命令 放 在 用 户 目录 下 的 .bash_profile X 
件 中 ， 比 如 ，root 用 户 就 放 在 /root/.bash_profile 下， 这 样 每 次 重新 启动 服务 器 后 只 需 执 
行 .bash_profile 这 个 文件 就 能 完成 所 有 环境 变量 的 设置 工作 ， 而 不 需要 重复 地 输入 export 命 
令 。 我 们 用 vi 命令 打开 .bash_profile 文件 ， 将 上 面 的 两 条 语句 写 入 其 中 ， 如 图 8-21 所 示 。 
第 一 次 执行 .bash_profile 前 千 万 不 要 忘 了 添加 执行 权限 ， 然 后 再 运行 ， 两 条 命令 如 下 : 


chmod 700 .bash profile 
. .bash profile 


如 图 8-22 所 示 。 请 注意 : 执行 .bash_profile 的 命令 中 两 个 点 之 间 有 空格 。 

我 们 输入 set 命令 就 可 以 看 见 刚才 设置 过 的 两 个 环境 变量 了 ，set 命令 回 显 所 有 该 用 户 设 定 
的 环境 变量 ， 如 图 8-22 中 标注 部 分 所 示 。 

图 8-21 中 其 他 几 个 环境 变量 也 需要 读者 注意 ， 比 如 ，CLASSPATH， 这 个 环境 变量 记录 了 
Java 程序 寻找 类 库 的 默认 路 径 ， 如 果 Java 类 不 包含 在 SJAVA_HOME/lib 目录 下 ， 这 些 类 库 
将 无 法 被 找到 ， 这 时 就 需要 将 包含 这 些 类 库 的 目录 添加 到 CLASSPATH 中 。PATH 变量 记 
录 了 系统 寻找 可 执行 文件 的 默认 路 径 ，PATH 目录 、/bin 以 及 /usr/sbin 目录 下 所 有 的 可 执行 
文件 可 以 直接 被 执行 ， 而 无 需 进入 相应 的 根 目录 。 
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图 8-21 .bash profile 命令 


profile 


x-gnu") 


© 设置 好 环境 变量 后 ， 就 可 以 


conf 目 


存放 了 Tomcat 的 


可 下 
cd $CATALINA HOME 


vi conf/server.xml 
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图 8-22 ”执行 .bash_profile 后 的 结果 


直接 使 用 环境 变量 进入 Tomcat 安装 目录 ， 输 入 下 面 命 


v. Rp 
自 关 配置 文件 ， 其 中 最 重要 的 一 个 是 server.xml。 首 先 演示 如 何 
更 改 Tomcat 服务 器 的 端口 号 ,利用 Vi 命令 打开 server.xml， 如 图 8-23 所 示 ， 两 条 命令 分 列 
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图 8-23 打开 server.xml 文件 


=-TEeEine a 


yote HTTP/1.l Connector on port 
<Connect: p 


<!-- Note : 


to 


图 8-24 Tomcat 端口 配置 


LO d ESSA: bash profile 是 Linux 系统 为 每 个 系统 用 户 自动 新 建 的 隐藏 文件 ， 在 
系统 用 户 的 根 目 录 下 。 每 个 系统 用 户 都 需要 设置 自己 的 环境 变量 ， 可 以 在 切换 到 不 同 用 户 
后 立即 执行 .bash_profile 文件 完成 环境 变量 的 设置 。 


8.3.3 Tomcat 的 启动 


安装 并 配置 好 Tomcat 后 ， 


就 可 以 启动 并 测试 Tomcat 服务 器 ， 有 具体 步 
Q 在 Tomcat 安装 目录 下 只 需 输 入 图 8-25 所 示 的 命令 就 能 启动 ， 如 果 在 
入 下 面 完 整 命令 启动 : 


又 如 下 。 
其 他 目录 下 ， 可 以 输 


-SCATALINA HOME/bin/startup.sh 


图 8-25 ”启动 Tomcat 

(2) 为 了 测试 Tomcat 是 否 启动 成 功 ,在 任意 主机 的 浏览 器 上 输入 http://IP:port， 即 会 出 现 如 
图 8-26 所 示 的 界面 ， 也 可 在 本 机 浏览 器 上 输入 http://localhost:9080 进 行 测试 。 

© 输入 下 面 的 命令 来 关闭 Tomcat， 如 图 8-27 所 示 


-SCATALINA HOME/bin/shutdown.sh 
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Apache Tomcat5.0.28 
Te Apache Jakarta Project 


nttp:// jakarta.apache.org/ 


If you're seeing this page via a web browser, it means you've setup Tomcat 
successfully. Congratulations! 


As you may have guessed by now, this is the default Tomcat home page. IL cen be 


NOTE: For security reasons, using the administration webapp is restricted to 
users with idmin"". The manager webapp is restricted to users with role 


Included wih this release a 


图 8-26 Tomcat 启动 成 功 


us 


| THPDIR: /us 


图 8-27 关闭 Tomcat 


的 点 评 与 拓展 :， 请 注意 ， 在 设置 环境 变量 的 export 命令 后 面 没有 “$” 符 号 ， 但 是 
使 用 环境 变量 进入 目录 时 , 需要 加 上 “$” 符号 , 如 cd $JAVA. HOME. 另外 , 当 启动 Tomcat 
而 浏览 器 仍然 不 能 访问 Tomcat 主页 ， 这 时 应 确认 防火 墙 是 否 将 Tomcat 所 占用 的 端口 开启 。 


8.3.4 Tomcat 管理 用 户 的 配置 


Tomcat 像 其 他 J2SE 环境 一 样 ， 提 供 了 方便 的 系统 管理 界面 ， 这 个 Web 形式 的 管理 界 
面 可 以 方便 地 管理 Tomcat 用 户 、Tomcat 数据 库 以 及 Web 应 用 等 。 在 使 用 这 个 系统 管理 界 
面前 ， 我 们 需要 先 在 Tomcat 下 进行 相关 的 配置 。 当 前 网 上 大 部 分 论述 Tomcat 管理 用 户 配 
置 的 文档 不 但 不 全 面 ， 而 且 存在 一 些 错误 ， 因 此 本 节 提 出 了 正确 的 配置 方法 。 

Q 前 面 也 提 及 ，SCATALINA HOME 目录 下 的 conf 目录 中 存放 了 Tomcat 的 配置 文件 ， 其 中 

tomcat-users.xml 是 专门 针对 Tomcat 用 户 进 行 配置 的 文件 .在 添加 admin 权限 的 用 户 时 ， 需 

要 首先 在 这 个 文件 下 加 入 下 面 两 行 ， 如 图 828 Fr. 
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«role rolename-"admin"» 


«user username-"admin" password-"secret" roles-"admin"/» 


我 们 所 添加 的 admin 用 户 是 Tomcat 的 超级 用 户 ， 它 有 权限 添加 其 他 的 一 切 用 户 。 


图 8-28 tomcat-users.xml 配置 文件 
(2) 接 下 来 是 对 $CATALINA_HOME/server/webapps 目录 的 配置 , 这 个 目录 下 有 两 个 子 目 录 , 分 
别 是 admin 和 manager， 前 者 是 用 3 Æ admin 用 户 的 。 进 入 admin 目录 ， 打 开 admin.xml 
这 个 配置 文件 ， 如 图 8-29 所 示 。 首 先 确保 docBase 参数 的 设置 准确 ， 它 指向 admin 目录 ， 
设置 为 : 


docBase-$CATALINA HOME/server/webapps/admin 


当然 也 可 以 像 图 8-29 中 那样 设 成 绝对 路 径 
然后 在 下 面 加 入 与 tomcat-users.xml 一 致 的 用 户 配置 


如 图 8-29 的 标 ; 


«user name-"admin" password-"secret" roles-"admin"/» 


图 8-29 admin.xml 配置 文件 

© 完成 以 上 两 步 的 设 定 后 ， 在 浏览 器 地 址 
系统 管理 界面 ， 提 示 输 入 用 户 名 和 密码 

入 定 的 用 户 名 和 密码 后 (本 书 中 是 admin 和 secret), 就 进入 如 图 8-31 所 示 的 系统 管 


入 http://IP:port/admin 就 会 弹出 如 图 8-30 所 示 的 


«17 


s Linux 服务 器 架设 与 管理 


理 菜单 ,在 上 面 可 以 添加 其 他 用 户 或 修改 已 存在 的 用 户 , 这 样 配置 Tomcat 就 无 需 使 用 shell 
命令 行 来 完成 ， 提 高 了 网 络 管理 员 的 效率 。 


8-30 Tomcat 管理 界面 登录 


8-31 Tomcat 管理 界面 菜单 


8.4 Web 工程 的 开发 和 部 署 


应 用 实例 导航 一 一 在 Tomcat 下 开发 Web 工程 


XREN 
在 为 A 公 司 架设 好 Tomcat 服务 器 后 , 需要 为 A 公 司 开发 JSP 动 态 网 页 , 并 部 署 到 Tomcat 
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服务 器 上 。 
要 求 示例 性 地 开发 一 个 indexjsp 页 面 作为 A 公司 Tomcat 服务 器 的 入 口 页 面 ， 然 后 在 
index jsp 页 面 上 建立 一 个 连接 showtime.jsp 的 页 面 ， 这 个 页 面 可 以 显示 当前 的 系统 时 间 。 
BOR EAR 
(1) MyEclipse 的 使 用 。 


Q) .war 文件 的 生成 。 
(3).war 文件 部 署 到 Tomcat 服务 器 。 


8.4.1 使 用 MyEclipse 开发 JSP 网 页 


Eclipse 是 一 个 开放 源 代码 的 、 基 于 Java 的 可 扩展 开发 平台 。 就 其 本 身 而 言 ， 它 只 是 
一 个 框架 和 一 组 服务 ， 用 于 通过 插件 组 件 构 建 开发 环境 。 幸 运 的 是 ，Eclipse 附带 了 一 个 标 
准 的 插件 集 ， 包 括 Java 开发 工具 (Java Development Tools，JDT)。Eclipse 还 包括 了 插件 开 
发 环境 (Plug-in Development Environment，PDE)， 这 个 组 件 主要 针对 希望 扩展 Eclipse 的 软 
件 开发 人 员 ， 因 为 它 允 许 他 们 构建 与 Eclipse 环境 无 颖 集成 的 工具 。 

MyEclipse 是 Eclipse 的 插件 , 也 是 一 款 功能 强大 的 J2EE 集成 开发 环境 , 支持 代码 编写 、 
配置 、 测 试 以 及 除 错 。Genuitec 发 布 了 MyEclipse Enterprise Workbench 5.0， 标 志 着 更 智能 、 
更 快捷 、 更 简单 和 更 便宜 的 J2EE 工具 的 新 版 本 的 诞生 。 它 的 价格 对 于 个 人 和 企业 开发 人 员 
来 说 都 是 非常 有 吸引 力 的 。 通 过 增加 UML 双向 建 模 工具 、WYSIWYG 的 JSP/Strutsdesigner、 
可 视 化 的 Hibernate/ORM 工具 、Spring 和 Web services 支持 ， 以 及 新 的 Oracle 数据 库 开 发 ， 
MyEclipse 5.0 继续 为 业界 提供 全 面 的 产品 。 

MyEclipse 5.1 包括 集成 版 本 (All-in-One) 的 安装 已 经 正式 发 布 。MyEclipse 5.1 是 基于 
Eclipse 3.2.1 版 本 的 ， 如 果 你 的 机 器 上 已 经 安装 了 Eclipse 3.2.1， 只 需要 下 载 Plugin 版 本 即 
可 。 如 果 你 的 Eclipse 还 没有 更 新 到 3.2.1，MyEclipse All-in-OneInstaller 将 为 你 安装 更 新 到 
最 新 的 3.2.1, 包括 Eclipse 3.2.1, MyEclipse 5.1 和 Java 5 JRE. 注意: 目前 All-in-One Installer 
仅 限于 Windows 操作 系统 用 户 使 用 ， 而 Mac 和 Linux 操作 系统 用 户 需要 安装 Eclipse 32.1 
并 安装 MyEclipse 5.1。 由 于 Eclipse 3.2.1 是 绿色 软件 ， 解 压 后 即 可 以 使 用 ，MyEclipse 的 安 
装 也 很 简易 ， 因 此 本 书 省 略 了 Eclipse 3.2.1 和 MyEclipse 的 安装 过 程 。( 本 书 附带 光盘 提供 了 
Eclipse 3.2.1 和 MyEclipse 的 安装 包 ) 

o 打开 Eclipse, 选择 File— New — Project 命令 创建 一 个 新 的 Java Web 工程 ,如 图 8-32 标记 部 

分 所 示 ， 然 后 会 弹出 如 图 8-33 所 示 的 New Project 窗口 ， 选 择 Web Project 类 型 ， 单 击 Next 

按钮 进入 下 一 步 。 
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8-32 创建 Java Web 工程 


8-33 ”选择 工程 类 型 


© 接着 弹出 New Web Project 对 话 框 ， 供 用 户 设置 该 Web 工程 的 属性 。 在 Project Name 文本 
框 中 输入 工程 名 称 ， 本 例 输入 的 是 HelloWorld1， 如 图 8-34 所 示 ， 其 他 采用 默认 参数 ， 单 击 
Finish 按钮 完成 该 Java Web 工程 的 创建 。 

Q 工程 名 为 HelloWorldl 的 Java Web 工程 创建 成 功 后 ,出 现 HelloWorldl ^? WebRoot 的 目录 结 
构 ， 该 目录 下 有 个 名 字 为 index.jsp 的 文件 ， 如 图 8-35 所 示 ， 这 个 文件 就 是 该 工程 的 首页 ， 
当然 也 可 将 这 个 首页 改 成 index.html 文件 。 双 击 打开 indexjsp 文件 ， 如 图 8-36 所 示 ， 在 图 
中 标注 部 分 可 以 添加 你 需要 的 JSP 代码 ， 由 于 本 书 讨论 范围 所 限 ， 对 JSP 规范 不 作 详 细 介 
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绍 ， 有 兴趣 的 读者 可 以 参考 相关 资料 。 


8-35 选择 index.jsp 


Q 接 下 来 演示 如 何在 HelloWorldl 这 个 工程 下 创建 新 的 JSP 网 页 . 单 击 工具 栏 第 一 个 白色 的 图 
标 ， 弹 出 创建 新 的 文件 类 型 列表 ， 如 图 8-37 所 示 。 选 择 JSP 类 型 ， 弹 出 如 图 8-38 所 示 的 对 
话 框 ， 指 定 该 JSP 文件 的 路 径 ， 一 般 存放 在 WebRoot 目录 下 ， 并 要 求 输入 JSP 文件 名 ， 本 
例 中 为 showtimejsp. Xd Finish 按钮 完成 该 JSP 文件 的 创建 。 
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图 8-37 创建 新 的 JSP 页 面 


ofWorldlyWebRoot J 
Default JSP template . 


图 8-38 输入 JSP 文件 名 


© 创建 成 功 showtimejsp 之 后 ， 可 以 双击 打开 ， 如 图 8-39 所 示 。 同样 可 以 在 标签 <body> 和 
</body> 之 间 添 加 JSP 代码 ， 如 图 8-39 标注 部 分 所 示 。 
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图 8-39 编辑 showtime.jsp 


11777 


8.4.2 1& Web 工程 发 布 成 .war 文件 


要 将 刚才 所 创建 的 Web 工程 部 署 到 Tomcat 服务 器 中 , 需要 将 应 用 程序 包装 为 Web 应 
用 程序 归档 (Web Application Archive, WAR) 文 件 。.war 文件 类 似 于 一 个 压缩 包 , 整合 了 Web 
应 用 ， 它 就 像 一 个 目录 一 样 存在 ， 使 用 相对 路 径 或 者 目录 名 来 使 用 。 下 面 介绍 如 何 将 一 个 
Web 工程 发 布 成 .war 文件 。 
© 在 Eclipse 软件 主 窗口 中 选择 File 一 Export 命 令 发 布 上 节 所 创建 的 Web 工程 ,如 图 8-40 所 示 。 


8-40 £% Java Web 工程 


Q 在 打开 的 如 图 8-41 所 示 的 选择 Export 类 型 的 窗口 中 ， 可 以 选择 供用 户 所 要 导出 的 类 型 。 当 
然 选择 WAR file 类 型 ， 然 后 单 击 Next 按钮 。 

Q 单 击 Next 按钮 后 ,弹出 如 图 8-42 所 示 的 选择 Export 工程 名 的 窗口 ,选择 HelloWorldl 工程 ， 
如 图 8-42 的 标记 部 分 ; 并 选择 HelloWorldl.war 文件 的 发 布 路 径 ， 然 后 单 击 Finish 按钮 完成 
工程 的 发 布 。 


四 点 评 与 拓展 : 以 上 两 节 提供 了 开发 Web 工程 的 基本 步骤 ,无 论 多 么 复杂 的 Web 工 
程 ， 其 开发 步骤 都 类 似 于 这 个 HelloWorldl 工程 。 
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8-41 选择 Export 类 型 8-42 ”选择 Export 的 工程 名 完成 发 布 


8.4.3 ”部署 HelloWorld1.war 文件 


将 Web 工程 发 布 成 .war 文件 后 , 接 下 来 介绍 如 何 将 上 节 生 成 的 HelloWorld1.war 文件 部 
署 到 Tomcat 服务 器 中 ， 并 且 访 问 这 个 Web 工程 。 
Q 利用 SSH Secure Shell Client 软件 提供 的 FTP 传输 工具 将 HelloWorldl.war 上 传 到 服务 器 的 
$CATALINA_HOME/webapps 目录 下 ， 如 图 8-43 所 示 。 


8-3 上传 HelloWorld1.war 
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© 如 图 8-44 所 示 ， 在 SCATALINA HOME/webapps 目录 下 出 现 了 HelloWorldl.war 这 个 文件 。 
启动 Tomcat 服务 器 ， 过 了 十 几 秒 钟 后 ，Tomcat 会 把 HelloWorldl.war 自动 解压 ， 生 成 
HelloWorld] 文件 夹 ， 这 个 文件 夹 就 是 HelloWorldl 这 个 Web 工程 的 根 目录 ， 有 着 与 开发 时 
一 样 的 目录 结构 ， 首 页 为 indexjsp， 还 包含 了 新 添加 的 showtime.jsp HH. 


ldl.var 


图 8-44 Tomcat 自动 解压 HelloWorld1.war 


e 在 浏览 器 地 址 栏 输入 http:WIP:portHelloWorldl 格 式 的 地 址 ， 就 能 访问 indexjsp 这 个 首页 ， 
本 例 输入 的 是 http://172.18.12.179:9080/HelloWorld1， 结 果 如 图 8-45 所 示 。 单 击 网 页 上 show 
current time 栏目 ， 就 自动 跳 转 到 showtime.jsp 这 个 页 面 ， 这 个 页 面 的 功能 是 显示 当前 的 系 

统 时 间 ， 结 果 如 图 8-46 所 示 。 


Microsoft Internet Explorer 


F iy JSP 'index.jsp' starting page 
XQ dg) FEV UO) IAV WR op 


Qs -QO- iig 6 s Je 29-83 


A) ug: //172. 10.12. 179:9080/Ne11oFor141/ 


图 8-45 访问 index.jsp 页 面 
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Jy JSP "showtime.jsp' starting page — 


Microsoft Internet Explorer 


XEO RED SEO REV IRD Who 


Oa: O hA Ds Xe e 2-2 9-LA 3 


Jib oo [hue 712. 10. 12. i sono Venter i/i tine jp. 


This is my JSP page. 
Sat Oct 05 15:3400 CST 2007 


CAEN 


8-46 ”访问 showtime.jsp 页 面 


多 点 评 与 拓展 : 本 节 讲 述 的 .war 包 在 Tomcat 服务 器 中 的 部 署 步骤 ， 适 用 于 任何 Web 
工程 的 部 署 ， 具 有 普遍 性 。 


85 本 章 小 结 


架设 Web 服务 器 是 建构 Internet 和 Intranet 非常 关键 的 工作 ， 本 章 分 别 介绍 了 Apache 
和 Tomcat 服务 器 的 安装 、 配 置 和 启动 。 与 Apache 相 比 ，Tomcat 扩展 了 对 JSP 动态 网 页 的 
支持 ， 因 此 ， 本 章 通过 一 个 简易 的 Web 工程 讲述 了 利用 MyEclipse 创建 Web 工程 的 基本 步 
又， 并 将 其 发 布 成 .war 文件 ， 然 后 讲述 了 如 何 将 这 个 .war 文件 部 署 到 Tomcat 服务 器 中 ， 该 
方法 具有 普遍 适用 性 ， 可 以 扩展 到 更 为 复杂 的 Web 工程 应 用 中 。 


* 181* 


FTP(File Transfer Protocal， 文 件 传输 协议 ) 服 务 是 最 基本 的 网 络 服务 之 一 ， 用 于 控制 
Internet 上 文件 的 双向 传输 。 用 户 通过 它 可 以 把 自己 的 PC 与 世界 各 地 所 有 运行 FTP 协议 的 
服务 器 相连 ， 实 现 与 远程 服务 器 的 数据 互 传 。 本 章 主 要 介绍 FTP 的 基本 工作 原理 ， 以 及 使 
用 vsftpd 服务 器 软件 架设 FTP 服务 器 的 方法 ， 最 后 简单 介绍 Linux 系统 下 FTP 的 客户 端 程 
序 gftp。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 内 容 : 

令 FIP 的 工作 原理 
FTP 的 两 种 连接 模式 
vsftpd 的 安装 和 配置 
gftp 的 安装 和 配置 


$95 


9.1 FTP 服务 概述 


9.1.1 FTP 服务 简介 


FTP 的 主要 功能 就 是 让 用 户 连接 上 一 个 远程 计算 机 (这 些 计算 机 上 运行 着 FTP 服务 器 程 
序 )， 查 看 远程 计算 机 有 哪些 文件 ， 然 后 要 么 把 文件 从 远程 计算 机 上 复制 到 用 户 计算 机 ， 要 
么 把 用 户 计算 机 的 文件 传 到 远程 计算 机 去 。 目 前 ，FTP 虽 有 渐 被 万 维 网 服务 取代 之 势 ， 但 
由 于 其 管理 的 简单 性 和 双向 传输 特性 ， 使 其 仍 得 到 广泛 应 用 。 

下 面 详细 介绍 一 下 FTP 协议 (文件 传输 协议 )。 通常 用 户 连接 上 Internet 的 首要 目的 是 
实现 资源 共享 ， 而 文件 传输 是 实现 资源 共享 的 非常 重要 的 一 个 手段 。 早 期 在 Internet 上 实现 
文件 传输 ， 并 不 是 一 件 容易 的 事 ， 因 为 Internet 是 一 个 非常 复杂 的 计算 机 环境 ， 有 PC， 有 
工作 站 ， 有 MAC， 有 大 型 机 ， 连 接 于 其 上 的 计算 机 成 千 上 万 ， 而 这 些 计 算 机 可 能 运行 不 同 
的 操作 系统 ， 有 运行 UNIX 的 服务 器 ， 也 有 运行 DOS、Windows 的 PC 和 运行 MacOS 的 苹 
果 机 ， 等 等 。 对 于 各 种 操作 系统 之 间 的 文件 交流 问题 ， 需 要 建立 一 个 统一 的 文件 传输 协议 ， 
这 就 是 所 谓 的 FTP。 支 持 FTP 协议 的 服务 器 就 是 所 谓 FTP 服务 器 。 基 于 不 同 的 操作 系统 就 
有 不 同 的 FTP 应 用 程序 ， 而 所 有 这 些 应 用 程序 都 遵守 同一 种 协议 ， 这 样 用 户 就 可 以 把 自己 
的 文件 传送 给 别人 ， 或 者 从 其 他 的 用 户 环境 中 获得 文件 。 
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9.1.2 FTP 工作 原理 


FTP 采用 “客户 /服务 器 ”方式 , 用 户 端 要 在 自己 的 本 地 主机 上 安装 FTP 客户 程序 。 FTP 
客户 程序 有 字符 界面 和 图 形 界面 两 种 。 字 符 界面 的 FTP 命令 复杂 繁多 ， 图 形 界面 的 FTP 客 
户 程序 操作 简洁 方便 。 用 户 通 过 一 个 支持 FTP 协议 的 客户 机 程序 ， 连 接 到 在 远程 主机 上 的 
FTP 服务 器 程序 。 用 户 通 过 客户 机 程序 向 服务 器 程序 发 出 命令 ， 服 务 器 程序 执行 用 户 所 发 
出 的 命令 ， 并 将 执行 的 结果 返回 到 客户 机 。 
客户 端 和 服务 器 使 用 TCP 建立 连接 ， 建 立 连 接 时 ， 客 户 端 和 服务 器 都 要 各 自打 开 一 个 
TCP 端口 。FTP 服务 器 有 两 个 预 分 配 的 端口 号 21 和 20)， 端 口 21 用 于 发 送 和 接收 FTP 控 
制 信息 。FTP 服务 器 通过 侦 听 21 端口 判断 是 否 有 客户 连接 请 求 。 一 个 会 话 连接 建立 后 ，21 
端口 在 连接 会 话 期 间 将 始终 打开 。20 端口 用 于 发 送 和 接收 数据 ， 该 端口 只 在 数据 传输 时 打 
开 ， 数 据 传输 结束 后 即 关 闭 。FTP 客户 端 启动 FTP 客户 机 程序 后 ， 动 态 分 配 其 端口 号 (范围 
为 1024 一 65535)。 一 个 FTP 会 话 开始 后 ， 客 户 机 程序 打开 一 个 控制 端口 (比如 取 1027)， 该 
端口 连接 服务 器 的 21 端口 。 要 传输 数据 时 ， 客 户 端 打开 连接 到 服务 器 20 端口 的 另 一 个 端 
口 (比如 取 1028)。 每 次 开始 传输 文件 时 ,客户 机 程序 都 会 打开 一 个 新 的 数据 端口 ， 传 输 结束 
后 再 自动 释放 掉 。 如 图 9-1 所 示 ，FTP 的 具体 工作 步骤 如 下 。 

Q FTP 客户 端 发 送 请 求 ， 系 统 动态 分 配 一 个 控制 端口 1027。 

@@ FTP 服务 器 端口 21 侦 听 到 请 求 后 ， 与 客户 端 端口 1027 建立 会 话 连接 。 

© 若 要 传输 数据 ，FTP 客户 端 动态 打开 一 个 连接 到 FTP 服务 器 20 端口 的 新 端口 1028， 这 样 
两 个 端口 间 就 可 以 进行 数据 传输 。 

O 数据 传输 完毕 后 ， 数 据 端 口 1028 和 服务 器 20 端口 自动 关闭 ， 会 话 连接 继续 保持 。 

Q rr 客户 端 与 服务 器 端 断 开 连接 后 ， 客 户 端 动态 分 配 的 端口 1027 自动 释放 。 


四 客户 端 发 送 建 证 TP 连 
接 请 求 


"M — 
: 
Port 1027 Port 21 
3 (cst (L8 uH 
ES 
S 可 数据 传输 完毕 后 保持 连接 9 
Sd 


回 关闭 连接 


图 9-1 FTP 服务 工作 原理 


9.1.3 FTP 的 两 种 连接 模式 


FTP 的 连接 模式 有 两 种 : PORT( 主 动 模式 ) 和 PASV( 被 动 模式 )。 主动 模式 的 连接 过 程 是 : 
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客户 端 动态 地 选择 一 个 端口 (这 个 端口 号 一 定 是 1024 以 上 的 ， 因 为 1024 以 前 的 端口 都 已 经 
预先 被 定义 好 了 ) 向 服务 器 端的 FTP 端口 (默认 是 21) 发 送 连接 请 求 ， 服 务 器 接受 请 求 ， 建 立 
一 个 控制 连接 。 当 需要 传送 数据 或 列 出 服务 器 的 文件 列表 时 (通常 使 用 ls 或 dir 命令 )， 客 户 
端 通过 控制 连接 告诉 服务 器 (使 用 PORT 命令 ):“ 我 已 经 打开 了 XX 端口 ， 请 你 过 来 连接 。” 
于 是 服务 器 使 用 20 端口 向 客户 端的 XX 端口 发 送 连接 请 求 ,建立 一 条 数据 连接 来 传送 数据 。 
被 动 模式 是 指 ， 客 户 端 首先 使 用 与 主动 连接 模式 相同 的 方法 与 服务 器 建立 控制 连接 。 

当 需 要 传送 数据 时 ， 客 户 端 通过 控制 连接 告诉 服务 器 (使 用 PASV 命令 )“ 我 要 连接 你 的 XX 
端口 ， 请 问 是 否 空闲 ”， 如 果 恰 好 该 端口 空闲 ， 服 务 器 会 告诉 客户 端 :“ 你 请 求 的 端口 空闲 ， 
可 以 建立 连接 (ACK 确认 信息 )。” 和 否则 服务 器 会 说 “该 端口 已 经 占用 ， 请 换个 端口 UNACK 
信息 )”。 如 果 客 户 端 得 到 的 是 空闲 的 提示 ， 就 可 以 利用 该 端口 建立 连接 ， 和 否则 就 得 换个 端 
重新 尝试 ， 这 也 就 是 所 谓 的 连接 建立 的 协商 过 程 。 

区 分 主动 模式 和 被 动 模式 的 主要 目的 是 : 并 不 是 所 有 的 FTP 服务 都 支持 这 两 种 连接 模 
式 ， 例 如 : 微软 自 带 的 FTP 命令 客户 端 就 不 支持 被 动 模 式 ， 如 果 设 置 错 了 客户 将 无 法 连接 。 


9.2 ”使 用 vsftpd 架设 FTP 服务 器 


vsftpd (very secure FTP daemon) 是 针对 传统 FTP 软件 安全 性 不 足 而 设计 出 来 的 , 其 目的 
就 是 建构 一 个 具有 良好 安全 性 保证 的 FTP 服务 器 。 

那么 vsftpd 是 如 何 来 保证 FTP 服务 器 的 安全 的 呢 ? 首先 ， vsftpd 考虑 了 Linux 系统 进 
程 的 权限 (privilege) 所 带 来 的 安全 问题 。 一 个 进程 由 惟一 的 进程 号 标识 ， 叫 做 PID, PID jj 
有 的 权限 等 级 越 高 , 它 能 够 进行 的 任务 就 越 多 。 举例 来 说 , 使 用 root 身份 所 触发 的 PID 通 
常 拥有 可 以 进行 任何 工作 的 权限 等 级 。 因 此 ， 被 网 络 黑客 所 控制 的 进程 的 PID 越 高 ， 所 产 
生 的 危险 性 就 越 大 ， 因 为 这 可 能 导致 黑客 能 够 修改 系统 的 任意 其 他 进程 或 文件 。vsftpd 正 是 
基于 这 种 隐患 设计 的 ， 它 将 自己 PID 的 权限 尽量 设 低 以 提高 系统 的 安全 性 。 

其 次 ，vsftpd 还 支持 chroot 功能 ，chroot 可 以 将 FTP 登录 用 户 限 制 在 特定 目录 下 ， 并 
将 这 个 特定 目录 变 成 该 用 户 的 根 目 录 ， 这 样 与 该 目录 没有 关系 的 其 他 目录 就 不 会 被 误 用 了 。 

下 面 分 别 在 两 种 场景 下 讲述 如 何 使 用 vsftpd 来 架设 FTP 服务 器 。 


9.2.1 架设 内 部 FTP 服务 器 


应 用 实例 导航 一 一 A 公司 局 域 网 FTP 服务 器 架设 


KAREM 


A 公司 需要 在 内 部 局 域 网 架设 FTP 服务 器 ， 以 方便 内 部 员工 的 资源 共享 。 由 于 内 部 局 
域 网 是 信任 度 相 对 较 高 的 环境 ， 因 此 ， 该 FTP 服务 器 允许 匿名 登录 及 系统 用 户 登 录 。 对 于 
匿名 登录 的 用 户 将 其 家 目录 设置 为 /var/ftp， 且 无 上 传 权限 ， 对 于 系统 用 户 登录 ， 其 家 目录 
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设置 为 /home 下 该 用 户 的 根 目录 。 


另外 ， 为 了 方便 FTP 服务 器 的 管理 ，FTP 服务 器 要 能 够 通过 配置 /etc/vsftpd.user list X 


件 来 实现 不 允许 登录 的 用 户 。 


KAREM 


(1) vsftpd 的 启动 。 
Q) 配置 允许 匿名 用 户 登录 。 
Q) 配置 允许 系统 用 户 登录 。 
(4) fili/etc/vsftpd.user list 设置 生效 。 


的 启动 和 一 些 基 本 的 配置 ， 这 样 可 以 
关系 、 


首先 通过 实例 场景 中 这 样 一 个 信 


任 度 较 高 ` 用户 权限 可 以 适当 放宽 的 环境 来 讲述 vsftpd 
使 读者 的 注意 力 更 多 地 放 到 vsftpd 配置 文件 的 结构 和 
意义 上 ， 而 不 必 过 多 地 纠缠 于 用 户 的 配置 权限 。 


© Fedora 60 9 EET vsftpd， 如 图 9-2 所 示 ， 可 以 使 用 下 面 命令 查看 : 


rpm -qa | grep ftp 


9-2 £f vsftpd 是 否 安装 


vsftpd 最 主要 的 配置 文件 为 vsftpd.conf， 存 放 在 /etc/vsftpd 目录 下 。 严 格 来 说 ，vsftpd.conf 
设 定 了 所 有 与 vsftpd 有 关 的 参数 ， 其 他 设 定 文件 都 附属 于 此 vsftpd.conf 文件 。 这 个 文件 的 
设 定 是 以 与 bash 变量 设 定 相同 的 方式 来 处 理 的 ， 也 就 是 “参数 = 设 定 值 ”来 设 定 的 ， 注 
意 ， 等 号 两 边 不 能 有 空格 符 。 下 面 命令 将 提供 详细 的 vsftpd.conf 参数 说 明 : 

man 5 vsftpd.conf 

接着 讲述 实现 本 例 的 vsftpd.conf 主要 配置 ， 用 vi 命令 打开 它 ， 如 图 9-3 所 示 。 图 中 的 前 两 
条 划 线 语句 是 默认 值 ， 无 需 修 改 ， 只 需 确 定 。 后 面 的 三 条 语句 是 需要 读者 自行 添加 进去 的 。 
下 面 分 别 对 这 几 条 语句 进行 解释 : 

anonymous enable-YES 

该 值 默认 是 YES， 说 明 人 允许 匿名 用 户 登录 FTP 服务 器 ; 若 将 其 改 为 NO， 则 匿名 用 户 无 法 
local enable-YES 

当 该 值 设 定 为 YES 时， 允许 /etc/passwd 内 的 系统 账户 登录 FTP 服务 器 。 


userlist enable-YES 


该 值 说 明 是 否 利用 vsftpd 来 处 理 某 些 不 允许 登录 的 用 户 。 
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userlist deny-YES 


当 userlist enable itJj YES 时 ， 此 项 和 下 一 项 才 有 意义 。 该 项 设 为 YES 时 ， 如 果 使 用 者 账 
户 被 列 入 到 某 个 文件 ， 他 将 无 法 登入 FTP 服务 器 。 


userlist file-/etc/vsftpd.user list 


该 项 设 定 了 vsftpd 阻止 或 接受 用 户 所 在 文件 的 路 径 ， 与 上 一 项 相关 联 ， 而 且 指定 的 文件 必 
须 已 经 被 创建 。 


comment this out). 


mment th 
lab 


图 9-3 ”人 允许 匿名 和 系统 用 户 的 配置 


O 启动 vsftpd 的 方法 与 一 般 服务 类 似 ， 它 默认 在 21 号 端口 侦 听 ， 两 条 命令 分 列 于 下 ， 结 果 如 
图 9-4 所 示 


/etc/init.d/vsftpd start 
netstat -tulnp | grep 21 


图 9-4 启动 vsftpd 


录 刚 刚 启动 的 FTP 服务 器 ， 只 要 输入 下 
ftptest， 提 示 输 入 密码 ， 输 入 ftptest 


面 命令 连接 本 机 FTP 服务 器 : 提示 
如 图 9-5 所 示 


ftp localhost 
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我 们 可 以 看 到 ，ftptest 用 户 成 功 登 
部 分 所 示 。 


， 并 且 家 目录 就 为 fptest 的 用 户 根 目录 ， 如 图 9-5 划 线 


图 9-5 测试 FTP 服务 器 


Q 接 下 来 ,测试 /etc/vsftpd.user list 文件 是 否 能 够 生效 ， 使 用 vi 4 
添加 一 行 ftptest， 如 图 9-6 Pro 


辑 vsftpd.user list 文件 ， 


图 9-6 ”编辑 vsftpd.user_list 文件 


然后 ， 按 步骤 (5) 登 陆 FTP 服务 器 ， 系 
vsftpd.user list 文件 已 经 生效 ， 结 果 如 图 9-7 所 示 


未 失败 ， 说 明 上 面 


7 Permission denied, HÆ 


B]9-7 vsftpd.user list 生效 


的 点 评 与 拓展 : 由 于 内 部 FTP 服务 器 处 于 信 
单 。 读 者 只 要 掌握 好 vsftpd.conf 的 配置 命令 即 避 


和 环境 ， 所 以 配置 工作 相对 简 
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9.22 架设 实用 FTP 服务 器 


应 用 实例 导航 一 一 A 公司 实用 FTP 服务 器 架设 


※ 场 景 呈现 


随 着 A 公司 业务 流程 的 复杂 化 ， 与 外 部 的 资源 共享 和 交流 越 来 越 频 繁 ，A 公司 准备 将 
内 部 的 FTP 服务 器 改造 成 实用 的 FTP 服务 器 ， 使 其 不 仅 适合 于 内 部 局 域 网 这 种 信任 度 相 对 
较 高 的 环境 ， 而 且 对 外 部 Internet 网 络 开放 。 具 体 要 求 描述 如 下 : 

(1) 用 户 登 录 FTP 服务 器 时 显示 一 段 欢迎 信息 ; 

(2) FTP 使 用 本 地 时 间 代 蔡 格 林 威 治 时 间 ; 

(3) 将 用 户 所 创建 的 目录 、 文 件 的 权限 设置 为 775; 

(4) 建立 严格 的 可 使 用 FTP 服务 器 的 用 户 列 表 ; 

(5) 将 登录 FTP 的 某 些 系统 用 户 的 访问 范围 限制 在 他 的 根 目录 下 ; 

(6) 将 下 载 的 最 大 带宽 限制 在 100KB/s; 

(7) 不 允许 同一 个 亿 地 址 建立 两 个 以 上 的 连接 。 


KAREN 


(1) 欢迎 信息 的 设 定 。 
Q) BIRKE (umask) hiie i o 
(3) chroot 的 设置 。 


本 实例 应 用 场景 是 一 个 信任 度 相 对 较 低 、 对 外 部 网 络 开放 的 环境 ， 配 置 要 求 也 相对 较 
多 。 具 体 的 实现 过 程 如 下 。 


1. 建立 FTP 欢迎 信息 


通常 情况 下 ， 用 户 登录 到 FTP 服务 器 时 ， 会 看 到 一 条 类 似 于 公告 的 信息 ， 通 常 的 内 容 
是 欢迎 你 访问 该 FTP， 并 且 会 公布 下 载 不 同类 型 文件 的 账号 和 密码 。 本 节 介 绍 这 种 欢迎 信 
息 的 设 定 方法 。 
@ 首先 新 建 welcome .txt 文件 ， 这 个 纯 文本 文件 记录 了 该 FTP 服务 器 所 需要 显示 的 欢迎 信息 ， 
如 图 9-8 所 示 。 
@ 打开 /ete/vsftpd/vsftpd.conf 文 件 ,添加 如 图 9-9 标注 部 分 的 语句 ,其 中 banner file 指定 了 FTP 
服务 器 读 取 的 欢迎 信息 文件 的 路 径 ， 比 如 本 例 将 上 一 步 新 建 的 welcome.txt 文件 放置 到 
/etc/vsftpd 目录 中 。 
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图 9-8 ”新 建 welcome.txt 文件 


图 9-9 vsftpd.conf 文件 中 的 banner file 设置 


， 如 果 再 次 登录 FTP 服务 器 时 ， 就 会 显示 welcome.txt 文件 的 欢迎 信 如 图 9-10 


pd FTP 


该 帐号 仅 用 于 下 载 软件 、 


图 9-10 ”测试 欢迎 信息 
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2. 设置 创建 目录 和 文件 的 默认 权限 

用 户 在 自己 的 根 目录 下 具有 创建 目录 和 文件 的 默认 权限 ， 那 么 如 何 设置 所 创建 的 目录 
和 文件 的 默认 权限 呢 ? vsftpd 是 通过 权限 掩 码 (umask) 的 方式 来 实现 的 ， 本 节 介 绍 何谓 权限 
掩 码 ， 以 及 如 何 设置 vsftpd 的 权限 掩 码 。 

从 1.3.2 节 “ 文 件 和 目录 操作 ”的 介绍 知道 Linux 文件 的 权限 是 由 3 位 八进制 数字 所 组 
成 ,初始 的 默认 权限 是 777。 权 限 掩 码 表示 从 现 有 权限 中 需要 减 去 的 权限 ， 如 果 umask 值 设 
定 为 077， 那 么 所 创建 的 目录 和 文件 的 默认 权限 就 为 777-077=700。 

实例 要 求 将 所 创建 的 目录 、 文 件 的 权限 设置 为 775， 那 么 umask=777-775=002， 在 
/etc/vsftpd/vsftpd.conf 文件 中 添加 local umask=002 即 可 ， 如 图 9-11 所 示 。 


图 9-11 vsftpd.conf 文件 中 的 local umask 设置 


3. chroot 相关 设置 
上 面 曾 经 提 及 vsftpd 之 所 以 安全 的 一 个 主要 原因 就 是 可 以 将 登录 的 系统 用 户 限制 在 他 
自己 的 根 目录 下 ， 这 个 设置 及 置 


是 通过 chroot 来 实现 的 。 下 面 介 绍 chroot 的 设置 方法 。 
9 打开 /ete/vsftpd/vsftpd.conf 文件 ， 添 加 如 图 9-12 标注 部 分 的 语句 ， 两 条 语句 解释 如 下 : 


chroot list enable=YES 
启动 将 某 些 系统 用 户 限 制 在 其 根 目录 下 ， 默 认为 NO 
chroot list file-/etc/vsftpd.chroot list 


效 , 这 时 vsftpd.chroot list 文件 中 列 出 的 用 户 将 无 法 


当 chroot local user 设置 为 YES 方才 生 
离开 其 根 目录 


图 9-12 vsftpd.conf 文件 中 的 chroot 设置 
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@ 打开 /etc/vsftpd.chroot list 文 件 ,假设 现在 添加 fiptest 用 户 , 如 图 9-13 所 示 .在 没有 设置 chroot 
功能 前 ， 当 ftptest 用 户 登 录 FTP 服务 器 时 ， 输 入 pwd 将 显示 /home/ftptest 目录 ， 并 且 能 够 
进入 /usrlocal 目录 ， 如 图 9-13 所 示 。 在 vsftpd.chroot list 文件 中 添加 ftptest 后 ， 重 启 vsftpd 
服务 ， 再 用 füptest 用 户 登录 FTP 服务 器 时 ， 输 入 pwd 将 显示 “/”， 意 思 即 为 根 目录 ; mH 
无 法 进入 /usrlocal 目录 ， 如 图 9-14 标注 部 分 所 示 。 


图 9-14 测试 chroot 功能 


4. 其 他 的 vsftpd 设置 

本 节 讲 述 实例 中 剩 下 的 一 些 设置 工作 ， 比 如 ， 将 FTP 时 间 设 定 为 本 地 时 间 、 将 下 载 的 
最 大 带宽 限制 在 100KB/s、 不 允许 同一 个 IP 地 址 建立 两 个 以 上 的 连接 以 及 建立 严格 的 可 使 
用 FTP 服务 器 的 用 户 列表 等 。 
Q vsfipd 服务 默认 的 时 间 是 格林 威 治 时间 ， 与 北京 时 间 有 6 个 小 时 左右 时 差 ， 如 果 将 

use localtime 改 成 YES, W| FTP 使 用 本 地 时 间 ， 如 图 9-15 所 示 
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图 9-15 vsftpd.conf 文件 中 的 use localtime 设置 


© 通常 情况 下 ，FTP 服务 器 都 需要 限制 用 户 下 载 的 最 大 带宽 ， 否 则 有 限 的 带宽 资源 将 很 容易 
被 几 个 用 户 耗 尽 ， 影 响 其 他 用 户 的 使 用 ， 也 会 加 重 FTP 服务 器 的 负载 。 同 时 ， 一 般 的 FTP 
服务 器 不 和 一 个 他 地 址 同时 建立 多 个 连接 ， 因 为 这 样 会 变相 地 增 大 下 载 带宽 。 图 9-16 
演示 了 vsftpd 设置 性 能 方面 的 几 个 参数 ， 解 释 如 下 : 


local max rate-100000 
限制 用 户 下 载 的 最 大 带宽 ， 单 位 是 B/s 
max clients-10 

多 10 ^ IP 同时 连接 FTP 服务 器 


max per ip-1 


每 个 I 地 址 只 允许 建立 一 个 连接 


ps] 


9-16 FTP 限 速 和 限制 IP 连接 数 的 设置 
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© 上 面 介绍 了 如 何 设 定 不 允许 登录 的 用 户 , 不 过 有 时 还 需要 设 定 有 限 的 几 个 能 够 登录 的 用 户 ， 
设置 之 外 的 都 不 允许 登录 ， 这 时 也 是 用 userlist 的 几 个 参数 ， 区 别 在 于 ， 将 userlist_deny 改 
成 NO， 如 图 9-17 标注 部 分 所 示 。 这 样 ， 只 有 在 文件 /etc/vsftpd.user_list 中 列 出 的 用 户 才能 
登录 FTP 服务 器 。 


图 9-17 ”建立 可 使 用 FTP 的 用 户 列表 


外 点 评 与 拓展 : 在 vsftpd.user list 和 vsftpd.chroot list 等 文件 设置 用 户 账户 时 ， 如 果 
有 多 个 账户 ,需要 分 行 写 入 ,每 行 写 一 个 用 户 的 账户 ， 这 样 vsftpd 才能 识别 这 些 不 同 的 用 户 。 


9.3 gftp FTP 客户 端 程序 简介 


Linux 系统 提供 了 shell 命令 登录 FTP， 但 是 这 种 方式 不 直观 ， 用 户 希 望 有 像 Windows 
系统 下 CuteFTP 或 LeapFTP 一 样 的 工具 来 实现 FTP 文件 传输 。gftp 就 是 这 样 一 款 软件 ， 它 
是 供 了 图 形 化 界面 ， 使 用 起 来 十 分 直观 方便 ， 本 节 介 绍 gftp 的 安装 和 使 用 。 

O 通过 下 载 或 本 书 光盘 得 到 安装 包 : gftp-2.0.18.tartar， 利 用 下 面 命令 解压 缩 ， 得 到 

/usr/local/gftp-2.0.18 安装 目录 


tar -zxvf /usr/local/gftp-2.0.18.tar.tar 


(2) 进入 解压 后 得 到 的 目录 为 /usr/local/gftp-2.0.18， 输 入 下 面 命令 进行 安装 配置 ,假设 最 后 的 安 
& E 3 A] /usr/local/gftp, 4 El 9-18 所 示 


./configure -prefix-/usr/local/gftp 


D] 


9-18 ”安装 配置 gftp 安装 包 
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© 接 下 来 就 是 编译 gftp 安装 包 ， 输 入 下 面 命令 进行 编译 ， 


make 


Á 


如 图 9-19 所 示 。 


» 


图 9-19 编译 gftp 安装 包 
O 最 后 是 安装 gftp 安装 包 ， 输 入 下 面 命令 进行 安装 ， 如 图 9-20 所 示 。 


make install 


图 9-20 安装 gftp 安装 包 


@Ọ 以 X-Windows 方式 登录 Linux 系统 , 进入 /usr/local/gftp/bin 目录 , 其 中 有 个 名 为 gftp 的 可 执 
行程 序 。 输 入 下 面 命令 启动 gftp 程序 ， 如 图 9-21 所 示 。 


./usr/local/gftp/bin/gftp 
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Q eñ 启动 后 ， 出 现 如 图 9-22 所 示 的 界面 ， 正 确 输 入 FTP IP 地 址 ， 默 认 端 口 为 21， 再 输 
入 用 户 名 和 密码 ， 就 能 登录 指定 的 FTP。 比 如 本 例 中 是 ，fiptestftptest@localhost:21， 界面 


左边 窗口 是 本 地 Linux 文件 系统 ， 右 边 窗口 是 FTP 目录 ， 利 用 中 间 的 名 和 加 | 按钮 可 以 方便 
实现 FTP 的 上 传 和 下 载 功能 。 


a m 
ETP PHO WER) EED) ffRD HSO) IRO) HHH) 
Dg) aw: [eeano 000 [omae [a] e m8: [ene ke: pee o 
Jusmocal ]z] j - 
[Loca] &893:6] Jecalhos: [FTP] [全 部 文件 ]” 
Exe X Er wa bi 文中 名 大 小 用 户 
P ghp M4 root root [5] & kde mE 
ghtp gtk 1982503 root root. f basi A 506 
P ghptext 841944 root po f$ bash prdfie PEJ 
© .bashrc 1A 8E 
= |5 emacs tuse 
HX r0 56 
O aswe LII 
[e] 
c— — ————— 15 c— TsÓ—  — — — — 15 
文件 名 


USTaL ^ 
150 Here comes the director listing 
326 Directory send OK. 


9-22 使 用 gftp 登录 本 机 FTP 


94 本 章 小 结 


E 要 介绍 了 FTP 服务 的 基本 原理 ， 使 用 vsftpd 软件 架设 FTP 服务 器 的 方法 ， 以 及 


形 化 界面 软件 gftp 的 安装 和 使 用 。 读 者 需要 重点 掌握 FTP 的 具体 工作 流程 ， 注 意 区 分 主 
模式 和 被 动 模式 的 应 用 场合 。vsftd 作为 一 种 常见 的 架设 FTP 服务 器 的 软件 ， 对 其 安装 过 
程 要 熟练 掌握 ， 基 本 配置 命令 及 参数 意义 也 要 非常 熟悉 。 至 于 图 形 化 界面 gftp 客户 端 程序 
的 相关 内 容 作 一 般 了 解 即 可 ， 感 兴趣 的 读者 可 通过 其 他 参考 资料 作 进 一 步 的 了 解 。 本 章 内 
容 相对 比较 简单 ， FTP 的 相关 应 用 读者 们 也 大 多 非常 熟悉 , 理解 起 来 相信 不 会 有 多 大 困难 。 
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电子 邮件 服务 是 Internet. 上 一 项 最 基本 的 服务 ， 也 是 最 重要 的 服务 之 一 。 用户 通 过 电子 
邮件 可 以 方便 快捷 地 与 远程 用 户 进行 信息 交互 。 目前 Internet 上 有 30% 以 上 的 业务 是 电子 邮 
件 ， 仅 次 于 万 维 网 服务 。 本 章 主要 介绍 电子 邮件 服务 的 基本 概念 及 工作 原理 ， 然 后 介绍 自 
Linux 诞生 以 来 应 用 最 广泛 的 邮件 服务 器 软件 Sendmail 的 配置 ， 以 及 目前 广泛 流行 、 较 
Sendmail 有 较 高 安全 性 的 邮件 服务 器 软件 Postfix 的 安装 和 配置 。 基 于 Postfix 所 架设 的 邮件 
转发 代理 , 介绍 如 何 使 用 dovecot 实现 POP 和 IMAP 服务 。 最 后 简单 介绍 Linux 系统 下 邮件 
客户 端 软 件 Evolution 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 内 容 : 

今 “ 电 子 邮件 系统 的 工作 原理 
Sendmail 的 安装 和 配置 
Postfix 的 安装 和 配置 
dovecot 的 配置 和 启动 
Evolution 软件 的 配置 和 使 用 
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10.1 电子 邮件 服务 概述 


10.1.1 电子 邮件 服务 简介 


电子 邮件 服务 是 Internet 的 基本 服务 之 一 ， 用 于 在 Internet 或 Intranet. 上 进行 信息 传递 。 
与 传统 邮政 的 信件 服务 相 比 ， 电 子 邮 件 具 有 快速 、 高 效 、 便 捷 的 优点 。 传 统 邮件 即使 发 份 
特快 专递 也 需要 一 天 时 间 ， 而 发 一 份 电子 邮件 通常 只 需要 几 分 钟 甚至 以 秒 计 就 能 到 达 对 方 ， 
不 管 对 方 距离 多 远 。 电 子 邮 件 采 用 存储 转发 方式 ， 发 送 邮件 时 无 需 接收 方 在 线 ， 收 件 人 可 
以 随时 上 网 从 邮件 服务 器 上 查阅 邮件 。 
电子 邮件 服务 是 基于 Client/Server 模式 的 。 一 个 完整 的 电子 邮件 系统 通常 主要 包括 以 下 
几 个 部 分 : 
信 ”邮件 服务 器 ， 电 子 邮件 系统 的 核心 。 它 的 主要 功能 是 发 送 和 接收 邮件 ， 并 通知 发 
件 人 邮件 传送 情况 。 根 据 用 途上 的 区 别 邮 件 服务 器 可 以 分 为 发 送 邮 件 服务 器 和 接 
收 邮件 服务 器 。 发 送 邮 件 服务 器 通常 为 SMTP 服务 器 , 接收 邮件 服务 器 通常 为 POP3 
服务 器 或 IMAP4 服务 器 。 
分 ”用 户 代理 (user agent), 用户 和 电子 邮件 系统 间 的 接口 。 它 主要 负责 将 邮件 发 送 到 邮 
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件 服务 器 以 及 从 邮件 服务 器 上 接收 邮件 。 通 常情 况 下 ， 用 户 代理 程序 运行 在 邮件 
客户 端 。 

分 ”电子 邮件 服务 协议 。 目 前 用 于 
协议 。 SMTP( 简 单 邮件 传输 协议 ) 属 于 TCP/IP 协议 族 , 是 一 组 用 于 从 源 地 址 向 目的 
也 址 传递 邮件 的 协议 ， 可 以 控制 邮件 中 转 方式 。 电 子 邮 件 通过 SMTP 协议 指定 的 
民 务 器 就 可 以 传送 到 收 件 人 的 服务 器 。POP3 协议 即 邮局 协议 第 3 个 版 本 ， 是 电子 
g 件 第 一 个 离线 协议 标准 , 它 规定 了 如 何 将 个 人 PC 连接 到 邮件 服务 器 及 下 载 电子 
WF. POP3 允许 把 邮件 从 服务 器 上 存储 到 本 地 主机 和 删除 保存 在 服务 器 上 的 邮 
件 .IMAP4 协议 即 Internet 信息 访问 协议 第 4 个 版 本 , 是 一 个 Client/Server 型 协议 ， 
目 于 从 本 地 服务 器 上 访问 电子 邮件 。 用 户 的 电子 邮件 由 服务 器 负责 接收 和 保存 ， 
日 户 可 以 通过 浏览 邮件 头 决定 是 否 要 下 载 邮 件 。 此 外 ， 用 户 还 可 以 在 服务 器 上 创 


T 


电子 邮件 服务 的 协议 主要 有 SMTP, POP3 和 IMAP4 


建 、 更 改 文件 夹 或 邮箱 以 及 删除 、 检 索 邮 件 。 


10.1.2 ”电子 邮件 服务 工作 原理 


和 sina.com, JH 
tang@sina.com。 


用 户 在 POP 


用 户 wu 向 
SMTP 服务 器 。 
nupt.edu.cn 


转发 该 邮件 。 


电子 邮件 服务 工作 流程 如 图 10-1 所 示 ， 我 们 假定 两 个 服务 器 的 域名 分 别 为 nupt.edu.cn 


户 注册 名 分 别 wu 和 tang， 电 子 邮 件 地 址 分 别 为 wu@nuptedu.cn 和 
具体 工作 步骤 如 下 。 
服务 器 上 登记 注册 ， 被 网 络 管理 员 设 为 授权 用 户 后 ， 取 得 一 个 POP 邮箱 ， 


并 获得 POP 和 SMTP 服务 器 的 地 址 信息 。 


用 户 tang 发 送 电子 邮件 时 ， 电 子 邮件 首先 从 客户 端 发 送 至 nuptedu.cn 的 


的 SMTP 服务 器 根据 目的 电子 邮件 地 址 查询 sina.com 的 SMTP 服务 器 ， 且 


sina.com 的 SMTP 服务 器 收 到 转发 的 电子 邮件 并 保存 。 


用 户 tang fi 


S 发 送 E-mail 


用 客户 端 登 录 到 sina.com 的 POP 服务 器 ， 从 其 上 下 载 和 浏览 电子 邮件 。 
nuptedu.cn sinacom SMTP 
SMTP 服 务 器 和 POP 服务 器 


InternevIntranet 


接收 E-mail 
一 一 


用 户 wu@nupt.edu.cn 用 户 tang@sina.com 


传送 E-mail 


10-1. 电子 邮件 传送 流程 
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10.1.3 RELAY 与 认证 机 制 


MTA(Mail Transfer Agent， 我 们 一 般 提 到 的 邮件 服务 器 就 是 MTA) 将 信件 传送 到 下 一 个 
MTA 去 的 行为 称 为 邮件 转 递 (RELAY)。 如 果 出 现 网 络 上 所 有 的 用 户 都 可 以 借 由 这 一 个 MTA 
HEIT RELAY 的 情况 , 则 称 之 为 Open RELAY.。 当 MTA 由 于 设 定 不 妥 导 致 发 生 Open RELAY, 
并 且 MTA 此 时 是 连 上 Internet 的 时 候 , 由 于 Internet. 上 使 用 port scan 软件 的 人 很 多 ,该 MTA 
具有 Open RELAY 功能 的 情况 就 会 在 短 时 间 内 被 许多 人 察觉 ， 此 时 那些 不 法 广告 、 色 情 垃 
圾 邮件 等 就 会 利用 这 个 Open RELAY MTA 进行 发 送 ， 从 而 导致 的 问题 主要 有 : 

信 MTA 主机 所 在 的 网 域 正常 使 用 的 联机 速度 将 会 变 慢 ， 因 为 网 络 频 宽 都 被 广告 垃圾 

邮件 占用 了 。 

* MTA 主机 可 能 由 于 大 量 发 送信 件 导致 主机 资源 被 耗 尽 ， 容 易 产 生 不 明 原 因 的 关机 

之 类 的 问题 。 

今 MTA 主机 将 会 被 Intemet 定义 为 黑 名 单 ， 从 此 很 多 正常 的 邮件 就 会 无 法 收发 。 

信 MTA 主机 所 在 的 全 将 会 被 上 层 ISP 封锁 ， 直 到 解决 这 个 Open RELAY 的 问题 

为 止 。 

分 ”如 果 该 MTA 主机 被 利用 来 发 送 黑客 信件 ， 则 此 MTA 将 会 被 追踪 为 最 终 站 。 
天 此， 一般 都 将 MTA 预 设 启动 为 仅 监听 内 部 循环 接口 ， 并 且 取 消 Open RELAY 的 功 
能 。 取 消 了 Open RELAY 功能 后 ， 用 户 必须 取得 合法 使 用 该 MTA 的 权限 后 才能 利用 这 个 
MTA 的 RELAY 功能 来 帮忙 转 信 。 通 常设 定 RELAY 的 方法 有 以 下 两 种 。 

(1) 规定 某 一 个 特定 客户 端的 IP 或 网 段 ， 例 如 规定 内 部 LAN 的 202.119.1.0/24 可 
使 用 RELAY。 

(2) 如 果 客 户 端的 卫 不 固定 ， 则 可 以 利用 认证 机 制 来 处 理 。 

上 述 的 认证 机 制 常见 的 有 两 种 ， 即 SMTP 邮件 认证 机 制 和 SMTP after POP。 这 两 种 机 
制 基本 上 都 是 让 用 户 输入 认证 用 的 账号 和 密码 来 确定 他 是 否 有 合法 使 用 该 MTA 的 权限 ， 然 
后 对 通过 认证 者 开启 RELAY 的 支持 。 这 样 ，MTA 不 需 启动 Open RELAY， 而 客户 端 可 以 
正常 地 利用 认证 机 制 来 收发 信件 。 


10.2 Sendmail 邮件 服务 的 配置 


应 用 实例 导航 一 一 利用 Sendmail 架设 MTA 服务 器 


KAREM 


某 科 研 机 构 需 要 利用 Sendmail 软件 架设 邮件 转发 代理 (Mail Transfer Agent, MTA), iz 
MTA 服务 需要 在 服务 器 的 所 有 网 卡 上 侦 听 ， 要 求 开 放 接 收 cgsp.seu.edu.cn 和 
seugrid2.seu.edu.cn 这 两 台 主机 的 所 有 邮件 , 并 对 局 域 网 内 所 有 主机 提供 RELAY 功能 , 局 域 
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网 段 为 172.18.12.* 。 
(1) sendmailme 的 设 定 。 


(2) Sendmail 的 启动 。 
(3) Sendmail 的 RELAY 功能 权限 设 定 。 


Sendmail 是 使 用 最 广泛 的 简单 邮件 服务 软件 ， 几 乎 所 有 Linux 系统 都 提供 了 这 个 软件 ， 
但 是 它 的 安全 性 较 差 。 Sendmail 一 般 以 root 用 户 运 行 , 所 运行 的 进程 权限 很 高 , 在 9.2 节 “ 使 
用 vsftpd 架设 FTP 服务 器 ”中 提 及 一 旦 权限 高 的 进程 被 黑客 所 利用 ， 将 给 系统 带 来 灾难 性 
的 后 果 ; 另外 ，Sendmail 只 适合 邮件 数量 较 少 的 情况 ， 无 法 满足 高 负载 邮件 系统 的 需要 。 

尽管 如 此 ， 提 到 电子 邮件 服务 器 的 架设 ， 必 须 先 谈 一 谈 这 款 广泛 应 用 的 邮件 服务 软件 。 
本 节 介绍 如 何 使 用 Sendmail 软件 架设 MTA 服务 ， 内 容 包括 : Sendmail 软件 所 包括 的 一 些 
组 件 简 介 ; Sendmail 软件 的 配置 方法 ，Sendmail 的 RELAY 权限 设 定 。 


10.2.1 Sendmail 软件 结构 简介 


Fedora 6 默认 安装 Sendmail 软件 ， 因 此 不 必 考 虑 Sendmail 的 安装 问题 ， 它 包含 以 下 几 
个 组 件 。 

* sendmail: sendmail 服务 的 入 口 程序 ， 在 /etc/init.d 目录 下 。 

分 sendmail-cf: sendmail.cf 的 设 定 文件 。 

+ m4: 将 sendmail-cf 这 个 设 定 文件 转 成 实际 可 使 用 的 设 定数 据 。 

几乎 所 有 的 Sendmail 相关 设 定 文件 都 在 /etc/mail 目录 下 ， 下 面 对 该 目录 所 包含 的 几 个 

主要 设 定 文件 作 简 单 介绍 。 

+  letc/mail/sendmail.cf 
Sendmail 的 主 设 定 文件 ， 不 过 ， 这 个 设 定 文件 的 内 容 是 无 法 理解 的 ， 因 此 不 能 随 
意 手动 修改 这 个 文件 。 那 么 怎样 处 理 sendmail.cf 设 定 文件 呢 ? 这 就 是 Sendmail 组 
件 sendmail-cf 和 m4 的 作用 ， 也 就 是 说 我 们 必须 通过 sendmail-cf 和 m4 来 修改 
sendmail.cf 主 设 定 文件 ， 而 不 能 手动 修改 。 

+  lusr/share/sendmail-cf/cf/*.mc 
所 有 *.me 文件 是 sendmailcf 设 定 文件 的 输入 数据 ， 也 就 是 说 m4 程序 通过 读 入 
sendmail-cf 中 的 *.mec 文件 中 的 数据 进行 处 理 产 生 sendmail.cf 文件 。 

+  letc/mail/sendmail.mc 
m4 程序 还 需要 有 sendmail.me 文件 的 配合 来 完成 sendmail.cf 设 定 文件 的 转化 ， 读 
者 可 以 通过 图 10-2 来 理解 m4 程序 、sendmailmc、sendmail-cf 和 sendmail.cf 之 间 
的 关系 。 我 们 可 以 看 到 , sendmail.me (25 /usr/share/sendmail-cf/cf 的 所 有 *.me 文件 ， 
它 作 为 m4 程序 的 输入 文件 ， 处 理 后 生成 sendmail.cf 文件 。 

*  [etc/mail/local-host-names 


这 个 文件 记录 了 能 够 接收 邮件 的 所 有 信任 主机 的 名 字 。 
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m4 上 一 | sendmail.mc coo sendmail.cf 


Jea 


/usr/share/sendmail-cf/cf/*.mce 


10-2 Sendmail 设 定 文件 之 间 的 关系 


*  letc/mail/access.db 
WE RELAY 主机 权限 的 数据 库 文 件 , 利用 makemap 程序 对 /etc/mail/access 设 定 文 
件 的 处 理 生 成 。 
*  l[etc/aliases.db 
设 定 别 名 的 数据 库 文 件 ， 利 用 newaliases 程序 对 /etc/aliases 设 定 文件 的 处 理 生成 。 
信  lvar/spool/mqueue 
这 个 就 是 Sendmail 的 邮件 队列 ， 当 邮件 被 MTA 收 下 后 ， 就 会 被 放置 到 这 里 来 等 
ff MDA 的 处 理 。 如 果 该 封 邮件 是 本 机 账号 ， 那 么 就 会 被 挪 到 /var/spoolmail/ 使 用 
者 账号 去 ， 然 后 从 队列 中 移 除 该 封 邮 件 。 如 果 该 封 邮 件 需 要 RELAY， 那 么 当 邮 件 
传送 到 下 一 部 MTA 后 ， 信 件数 据 就 会 从 队列 中 移 除 。 可 以 通过 mailq 命令 查看 当 
前 队列 的 长 度 。 


10.2.2 Sendmail 的 配置 与 启动 


有 了 对 Sendmail 软件 的 大 概 了 解 后 ， 就 可 以 进行 Sendmail 服务 的 配置 和 启动 ， 有 具体 步 
骤 如 下 。 
Q Sendmail 服务 在 系统 启动 时 已 经 启动 ， 可 以 通过 下 面 命令 查看 它 的 侦 听 状态 ， 如 图 10-3 所 
示 。 从 图 10-3 的 标注 部 分 可 以 看 到 ，Sendmail 初始 状态 只 在 本 机 环 路 网 卡 上 侦 听 ， 也 就 是 
说 不 侦 听 有 外 部 数据 流量 的 网 卡 ， 因 此 这 种 状态 无 法 接受 和 发 送 电子 邮件 ， 所 以 首先 要 将 
sendmail 在 所 有 网 卡 上 都 进行 侦 听 。 


netstat -tulnp | grep mail 


图 10-3 Sendmail 侦 听 环 路 网 卡 


© 使 用 vi 命令 打开 sendmailme 文件 ， 如 图 10-4 所 示 。 找 到 DAEMON_ OPTIONS 这 行 语句 ， 
如 图 10-5 所 示 ， 可 以 看 到 其 中 的 Addr 选项 的 默认 设置 为 127.0.0.1， 这 表示 Sendmail 服务 
只 侦 听 本 地 环 路 网 卡 。 我 们 将 其 改 成 : 


DAEMON OPTIONS ('Port-smtp,Addr-0.0.0.1,Name-MTA')dnl 
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如 图 10-6 所 示 , 端口 设 定 为 smtp, 即 简单 邮件 协议 的 端口 ,为 25 号 端口 ;Addr 设 定 为 0.0.0.1， 
即 侦 听 所 有 网 卡 ; Name 为 MTA， 即 邮件 转发 代理 类 型 。 请 注意 ，DAEMON OPTIONS 的 
括号 内 ， 以 “” 符 号 开头 ， 以 “” 即 单 引 号 结束 。 


nfig file 
11 need to 


or intranet. 


1, 


10-5 ”初始 的 DAEMON OPTIONS 


dnl # addre restriction to t email from the internet or intranet. 
dnl # 


DAEMON_OPTIONS (^Port-smtp, Addr=0. 0.0.0, Name-MTA')dnl 
dnl # 


图 10-6 修改 后 的 DAEMON OPTIONS 


e 使 用 mv 命令 备份 原始 的 sendmail.cf X 后 使 用 m4 命令 通过 刚才 设 定 好 的 sendmail.me 
文件 生成 sendmail.cf 文件 ， 如 图 10-7 所 示 。 所 用 到 的 两 条 命令 分 列 于 下 : 


然 


mv sendmail.cf sendmail.cf.bk 


m4 sendmail.mc > sendmail.cf 


图 10-7 生成 sendmail.cf 文 件 


© 成 功 生成 sendmailcf 文件 后 ， 需 要 重启 sendmail 服务 使 其 生效 , 使 用 下 面 命令 重启 该 服务 ， 
如 图 10-8 所 示 ，Sendmail 服务 启动 了 两 个 进程 。 


/etc/init.d/sendmail restart 


图 10-8 重启 Sendmail 服务 


同 理 ， 启 动 、 关 闭 Sendmail 服务 ， 查 看 Sendmail 服务 状态 等 命令 格式 如 下 : 
/etc/init.d/sendmail (stoplstart|reload|condrestart|status] 
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如 果 再 次 使 用 netstat 命令 查看 Sendmail 服务 的 侦 听 状态 , 可 以 发 现 Sendmail 服务 已 经 在 所 
有 网 卡 上 进行 侦 听 了 ， 如 图 10-9 标注 部 分 所 示 。 
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B] 10-9 Sendmail 服务 侦 听 所 有 网 卡 


[5) 按照 场景 呈现 中 的 要 求 ， 我 们 需要 开放 接收 cgsp.seu.edu.cn 和 seugrid2.seu.edu.cn 这 两 台 主 
机 的 所 有 邮件 ,只 需 将 这 两 台 主机 名 添加 到 /etc/mail/local-host-names 文件 中 即 可 ,如 图 10-10 


要 重启 Sendmail 服务 使 local-host-names 文件 的 设 定 生效 , 重启 方法 见 步骤 (4)。 


图 10-10 /etc/mail/local-host-names 文件 的 设置 


对 /etc/mail/access 


Q 场景 呈现 还 要 求 对 局 域 网 段 172.18.12.* 内 所 有 主机 提供 RELAY 功 人 
设 定 文件 进行 设置 ， 在 该 文件 添加 如 下 语句 ， 如 图 10-11 所 示 


172.18.12 RELAY 


图 10-11 /etc/mail/access 文件 的 设置 
可 以 看 到 初始 的 access 文件 规定 了 本 机 的 邮件 才能 RELAY, à 
在 第 10.2.1 节 中 我 们 讲述 过 对 所 有 主机 邮件 都 RELAY 将 带 来 许多 安全 上 的 问题 ， 


络 黑客 提供 攻击 其 他 服务 器 的 中 介 
对 /etc/mail/access 文件 设 定 完 毕 后 ， 进 入 /etc/mail 目录 ， 使 用 下 面 命令 使 刚才 的 access 文件 


设 定 生效 ， 如 图 10-12 所 示 


makemap hash access < access 
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"mm mail 


ugridl mail 
jridl mail 
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]# p 


]# makemap hash ac 
EJ 


析 能 得 出 的 合法 主机 名 。 


10.3 Postfix 邮件 服务 的 配置 


应 用 实例 导航 一 一 利用 Postfix 架设 MTA 服务 器 


※ 场 景 呈现 
由 于 某 科研 机 构 用 户 的 增多 ，F 


H Sendmail 软件 架设 的 MTA 已 不 能 满足 需要 。 该 机 构 


准备 利用 Postfix 软件 重新 架设 MTA， 实 现 与 Sendmail 所 架设 的 MTA 类 似 的 功能 : MTA 
服务 在 服务 器 的 所 有 网 卡 上 侦 听 ， 开 放 接收 cgsp.seu.edu.cn 和 seugrid2.seu.edu.cn 这 两 台 主 


机 的 所 有 邮件 ， 并 对 局 域 网 内 所 有 : 
KAREM 


(1) 熟悉 Postfix 软件 的 组 成 。 
(2) Postfix 的 安装 和 启动 。 
(3) Postfix 主 配置 文件 的 意义 有 


Postfix 是 由 IBM 资助 ，Wietse 
博士 在 1998 年 首次 发 布 这 个 自行 
这 个 名 字 与 其 他 已 注册 的 商标 很 类 
件 的 名 称 改 为 Postfix。 


主机 提供 RELAY 功能 ， 局 域 网 段 为 172.18.12.*。 


1 设 定 。 

Zweitze Venema 博士 负责 开发 的 邮件 服务 软件 。Venema 
开发 的 邮件 服务 器 ， 并 定名 为 VMailer。 不 过 ，VMailer 
以 ， 为 了 避免 法 律 纠纷 ，Venema 博士 将 这 个 邮件 服务 软 


Postfix 在 设计 理念 方面 ， 试 图 完全 兼容 Sendmail 同时 又 要 内 核 新 颖 ,因此 Postfix 改进 
了 Sendmail 安全 性 上 的 问题 ， 及 mail server 的 工作 效率 ， 且 使 得 设 定 文件 更 加 简易 。 


本 节 首 先 介绍 Postfix HAt 


成 部 分 的 功能 ， 然 后 讲述 Postfix 的 安装 与 启动 , 重点 讲 


述 Postfix 主 配 置 文件 的 意义 和 设 定 方法 。 


10.3.1 Postfix 软件 结构 简介 


Postfix 的 设 定 文件 都 在 /etc/postfix/ 目 录 中 , 下面 对 该 目录 所 包含 的 几 个 主要 设 定 文件 作 


简单 介绍 : 
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+ /etc/postfix/main.cf 


postfix 的 主 设 定 文件 ， 只 要 修改 过 这 个 档案 ， 就 要 


下 新 启动 postfix 使 其 


*  letc/postfix/master.cf. 
规定 了 postfix 每 个 程序 的 运行 参数 ， 一 般 无 需 改动 此 设 定 文件 。 
信 /etc/postfix/access 
与 sendmail 的 /etc/mail/access 具有 类 似 的 功能 ， 用 于 设 定 RELAY 主机 权限 的 数据 


库 文件 ， 利 用 makemap 程序 对 /etc/mail/access 设 定 文件 的 处 理 生成 。 


信 /etc/aliases (利用 s 均 可 ) 


用 于 设 定 使 用 者 别名 的 文件 ， 利 用 postalias 或 newaliase 程序 将 aliases 转化 成 


aliases.db 数据 库 文 件 。 
postfix 的 主要 执行 程序 如 下 。 


* /sr/s 


in/postconf 


该 命令 可 以 列 出 postfix 的 详细 设 定 数据 ， 包 括 系 统 默 认 值 也 会 被 列 出 来 ， 如 果 仅 


需 列 : 


+ /usr/sl 


出 非 默认 值 的 设 定数 据 ， 则 使 用 “postconf -n” 命 令 。 


in/postfix (主要 的 daemon 指令 ) 


启动 postfix 的 入 口 程序 ， 启 动 这 个 程序 会 重新 读 取 设 定 文件 。 


* /usr/sl 
BEN 
格式 和 

* l[usr/s| 
该 命 


in/postalias 
吏 用 者 别名 数据 库 的 命令 ,将 aliases 转化 成 aliases.db 数据 库 文件 ,即将 ASCII 
的 文件 转换 为 数据 库 。 

in/postcat 


令 用 于 检查 队列 中 的 邮件 内 容 ， 即 查看 目录 /var/spoolpostfix 中 的 内 容 。 


+  l/usr/s 


该 命 


in/postmap 


A FH T /etc/mail/access 设 定 文件 。 


介绍 完 postfix 的 设 定 文件 和 主要 执行 程序 以 后 ， 就 可 以 安装 postfix 软件 了 。 


o Fedora 6 
iE Sendmail 


ited T Postfix 的 rpm 安装 包 ， 但 不 默认 安装 。 在 安装 Postfix 之 前 ， 必 须 停 


1 服务 。 输 入 下 面 命令 停止 Sendmail 服务 ， 并 使 用 chkconfig 命令 关闭 Sendmail 


开机 自 启动 功能 ， 如 图 10-13 所 示 ， 所 用 到 的 三 条 命令 分 列 于 下 : 


/etc/init.d/sendmail stop 


chkconfig sendmail off 


chkconfig sendmail --list 


sendmail s 


jridl mail] 
jrid1 mail]f 


图 10-14 所 示 


0:off 


图 10-13 1&iE Sendmail 服务 


Postfix 的 rpm 安装 包 的 名 字 为 postfix-2.3.3-2.1386.rpm, 使 用 下 面 命令 安装 Postfix 软件 ， 如 


示 。 
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rpm -ivh postfix-2.3.3-2.i386.rpm --force -nodeps 


图 10-14 ”安装 Postfix 软件 


安装 成 功 后 ， 即 可 使 用 下 面 命令 启动 Postfix 服务 ， 如 图 10-15 所 示 。 


/etc/init.d/postfix start 


图 10-15 启动 Postfix 服务 


10.3.2 Postfix 的 配置 和 启动 


Postfix 软件 的 配置 目标 与 Sendmail 类 似 ， 也 是 将 其 设 定 为 在 所 有 网 卡 上 都 侦 听 数据 ， 


并 设 定 接收 邮件 的 主机 和 网 域 ， 以 及 设 定 提 供 RELAY 功能 的 主机 范围 等 。 与 Sendmail 不 
同 的 是 ，Postfix 软件 的 设 定 都 在 /etc/postfix/main.cf 文件 内 。 下 面 讲 述 如 何 配置 main.cf 这 个 
文件 。 

@ 打开 /etc/postfix/main.cf 文件 ， 该 文件 尽管 内 容 很 多 ,但 其 中 大 部 分 内 容 都 是 注释 ， 由 “# 


符号 开头 ,我们 只 需 在 注释 的 基础 上 作 少 量 的 修改 即 可 
第 一 处 重要 设置 是 主机 名 ， 后 面 很 多 设置 都 直接 调用 
如 图 10-16 标注 部 分 所 示 ， 根 据 具 体 情况 输入 你 的 主机 名 


E 10-16 设 定 主机 名 

接着 ， 找 到 myorigin 这 一 行 ， 将 上 面 设 定 的 主机 名 作为 myorigin 的 值 ， 如 图 10-17 所 
示 。myorigin 参数 记录 由 本 台 主 机 发 出 的 邮件 的 邮件 头 中 的 mail from 地 址 ， 即 电子 邮 
件 源 主 机 的 主机 名 。 


E 10-17 设 定 发 信 源 主机 名 
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© Postfix 默认 情况 下 只 侦 听 本 机 环 路 网 卡 (lo 127.0.0.1)， 找 到 inet interfaces 这 一 行 ， 将 此 参 
数 设 为 all, 这样 Postfix 才 能 在 主机 的 所 有 网 卡 上 都 进行 侦 听 ,如 图 10-18 所 示 。inet interfaces 
的 设 定 相当 于 Sendmail 的 DAEMON OPTIONS 设 定 项 。 


# No 

# 

inet inter 
#i i 


10-18 inet interfaces 设 定 


e 接着 设 定 Postfix 允许 接收 邮件 的 主机 名 ， 如 同 Sendmail 中 的 local-host-names 文件 的 设置 
一 样 ， 找 到 mydestination 这 一 行 ， 默 认 允 许 接收 本 机 和 本 域 的 邮件 ， 加 入 额外 允许 接收 邮 
件 的 主机 名 ， 本 例 中 为 cgsp.seu.edu.cn 和 seugrid2.seu.edu.cn， 如 图 10-19 标注 部 分 所 示 。 习 
惯 上 ， 将 新 添 的 主机 名 另 起 一 行 ， 不 同 主机 名 之 间 用 逗号 隔 开 。 也 可 以 将 mydestination 参 
数 设 为 与 Sendmail 类 似 的 local-host-names 文件 ， 格 式 如 下 : 


mydestination = /etc/postfix/local-host-names 


然后 同样 在 local-host-names 中 添加 允许 接收 邮件 的 主机 名 ， 这 样 的 设置 方法 体现 出 postfix 
对 sendmail 的 兼容 


因 


10-19 mydestination 设 定 


o postfix 的 main.cf 文件 中 还 有 一 项 为 mynetworks_style， 它 设 定 了 信任 网 域 ， 即 可 以 提供 
RELAY 功能 的 网 域 . 但 是 由 于 mynetworks 设 定 项 提供 了 同样 的 功能 ， 因 此 一 般 只 设 定 
mynetworks 选项 ， 对 于 mynetworks style 项 ， 找 到 mynetworks 这 一 行 ， 设 定 如 图 10-20 标 
注 部 分 所 示 的 内 容 


图 10-20 ”信任 网 域 的 设 定 
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其 中 ，127.0.0.0/8 表示 对 本 机 环 路 网 域 提供 RELAY 功能 ， 其 他 信任 网 域 的 设 定 放 在 
letc/postfis/access 文件 中 。 下 节 将 详细 讲述 access 的 设置 和 生效 方法 。 
[5] 实际 上 mynetworks 设 定 的 是 信任 的 上 游 主机 ， 即 对 mynetworks 中 发 来 的 邮件 提供 RELAY 
功能 ， 那 么 将 这 些 邮 件 RELAY 到 何方 呢 ? 即 下 游 主机 在 哪里 呢 ? RELAY domains 项 就 设 
定 了 下 游 主机 的 范围 ， 一 般 设 为 mydestination 变量 ， 如 图 10-21 所 示 。 


TE: i 


图 10-21 RELAY domains 的 设 定 
@@ 最 后 需要 进行 与 别名 相关 的 这 里 只 介绍 主 文件 的 别名 设 定 ， 有 关 别 名 的 用 途 和 其 他 
设 定 将 在 下 节 中 讲述 。 找到 alias maps 这 一 行 , 将 其 指向 /etc/aliases 文件 , 再 将 alias_database 
项 也 同样 指向 /etc/aliases 文件 ， 如 图 10-22 标注 部 分 所 示 


a] 


10-22 别名 的 设 定 


[7] 这 样 Postfix 的 main.cf 文 件 终于 设 定 完 了 ,使 用 postmap f? postalias 处 理 一 下 access 和 aliases 
文件 .然后 ,利用 Postfix 命令 检查 主 配置 文件 是 否 有 语法 错误 .如 果 语 法 无 误 ,就 重启 Postfix 
服务 使 main.cf 配置 生效 ， 如 图 10-23 所 示 ， 使 用 到 的 命令 分 列 于 下 : 


postmap hash:/etc/postfix/access 

postalias hash:/etc/aliases 

postfix check 

/etc/init.d/postfix restart 

使 用 下 面 命令 查看 Postfix 服务 的 侦 听 状态 ， 如 图 10-24 所 示 ， 可 以 看 到 Postfix 已 经 在 所 有 
网 卡 上 侦 听 了 ， 所 在 的 仍然 是 smtp 所 规定 的 25 号 端口 


1.250 


netstat -tulnp | grep 
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图 10-24 查看 Postfix 侦 听 状态 


EDO YES HU: main.cf 文件 中 的 变量 跟 shell 中 的 变量 格式 一 样 ， 都 是 以 “$” 符 号 
开头 。 若 在 main.cf 文件 中 重复 设 定 某 一 变量 ， 以 最 后 一 次 的 设 定 为 准 。 


10.3.3 Postfix 的 其 他 配置 


应 用 实例 导航 一 一 Postfix 的 主机 过 滤 和 虚拟 别名 


XR EH 


该 科研 机 构 在 利用 Postfix 软件 架设 MTA 实现 了 基本 功能 后 ， 需 要 进一步 利用 access 
文件 实现 主机 过 滤 ， 要 求 接收 所 有 来 自 172.18.12.* 网 段 的 邮件 ， 并 拒绝 来 自 .com 结尾 的 地 
址 的 商业 邮件 。 

另外 ， 需 要 使 用 别名 机 制 实现 群 组 邮递 功能 ， 使 用 tian 用 户 接管 root 用 户 的 邮件 ， 并 
实现 利用 teacher 用 户 管理 学 生 群 组 的 邮件 的 投递 功能 。 


KAREM 
(D 利用 实现 主机 过 滤 功 能 。 


(2) 利用 


现 虚 拟 别 名 功能 。 

前 面 讲述 main.cf 文件 的 设 定时 ， 和 遗留 了 两 个 问题 ， 一 个 是 postfix 是 如 何 使 用 access 
文件 进行 信任 主机 过 滤 的 ; 另 一 个 是 别名 文件 aliases 有 何 意 义 ， 且 是 如 何 设 定 的 。 本 节 详 
细 解 释 这 两 个 问题 。 

1. access 信任 主机 过 滤 

信任 主机 的 过 滤 规 则 类 似 于 Linux. 防火 墙 中 的 规则 ， 分 为 接受 (ACCEPT) 和 拒绝 
(REJECT) 两 种 。/etc/postfix/access 用 于 设 定 邮件 主机 使 用 权限 与 过 滤 机 制 , 如 果 mynetworks 
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项 指定 到 access 文件 ， 我 们 就 需要 对 access 进行 设 定 。 基 本 的 access 语法 如 下 : 
规范 的 范围 或 规则 Postfix 的 动作 


IP/ 部 分 IP/ 主 机 名 /Email 等 ACCEPT/REJECT 


根据 ACCESS 的 语法 , 场景 呈现 中 要 求 开 放 172.18.12.* 网 段 的 权限 , 那么 只 要 在 access 
中 写 入 : 


172.18.12 ACCEPT 
如 果 要 过 滤 掉 所 有 .com 结尾 的 地 址 发 来 的 邮件 ， 只 要 在 access 中 写 入 : 
-com REJECT 


access 文件 设 定 如 图 10-25 所 示 。 然 后 使 用 下 面 命令 使 access 文件 生效 ， 如 图 10-26 
所 示 。 


postmap hash:/etc/postfix/access 


2 EPT 
REJECT 


ak] 


10-26 {£ access 文件 生效 


aliases 别名 又 称 为 虚拟 别名 功能 ， 它 能 建立 虚拟 别名 用 户 与 系统 用 户 之 间 的 映射 ， 
即 能 将 发 送 到 虚拟 别名 用 户 的 邮件 用 户 ( 或 用 户 组 ) 的 邮箱 中 。 用 户 别名 机 制 是 通 
过 别名 表 在 系统 范围 内 实现 别名 邮件 地 址 到 户 邮 件 地 址 的 重 定向 ， 别 名 表 就 是 主 设 
定 文件 中 alias_maps 和 alias database 两 个 设 定 项 所 指向 的 文件 ， 默 认为 /etc/aliases。 下 面 详 
细 说 明 /etc/aliases 的 设置 方法 。 
o 打开 /etc/aliases 文件 ， 如 图 10-27 所 示 ， 可 以 看 到 /etc/aliases 文件 以 如 下 格式 来 组 织 : 


[虚拟 别名 ] : [真实 用 户 ] 

如 果 我 们 添加 “gao: tang” 这 条 语句 ， 即 用 tang 这 个 用 户 接管 了 gao 这 个 用 户 的 邮箱 ， 所 
有 发 到 gao 用 户 的 邮件 ， 全 部 被 重 定向 到 tang 这 个 用 户 中 。 如 果 需 要 通过 Gan 这 个 用 户 来 
查看 root 用 户 的 邮件 ， 只 要 添加 “Toot: roobtian” 语 句 ， 表 示 所 有 发 送 到 root 用 户 的 邮件 将 
被 转交 到 root 和 tian 两 个 用 户 的 邮箱 中 , 如 图 10-28 所 示 . 假 设 添加 的 语句 是 : “root: tian”, 
那么 从 此 root 用 户 将 再 也 接收 不 到 自己 的 邮件 了 , 这 些 邮 件 都 转交 到 了 tian 用 户 的 邮箱 中 。 
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图 10-28 添加 别名 


Q postfix 的 别名 的 一 个 实用 功能 就 
样 的 邮件 ， 如 果 一 个 一 个 地 发 


是 实现 群 组 邮递 。 假 设 一 位 教师 需要 为 所 有 的 学 生发 
将 耗费 大 量 的 时 间 和 精力 ， 这 时 我 们 就 可 以 用 一 个 
户 作 为 所 有 学 生 账号 的 别名 ， 这 样 教师 只 需 将 邮件 账号 中 去 就 可 被 所 有 的 
学 生 接收 了 。 群 组 邮递 功能 很 实用 ， 可 以 大 幅度 地 提高 工作 效率 ， 而 且 设 定 很 简单 ， 只 要 
在 /etc/ aliases 中 添加 下 面 的 一 行 语句 : 


teacher: st001, st002, st003, :- 


有 多 少 学 生 都 可 以 添加 在 这 条 语 名 之后， 中间 用 逗号 分 隔 ， 如 图 10-29 Pr. 


图 10-29 ”和 群 组 邮递 


Q 修改 /etc/ aliases 之 后 ， 使 用 下 面 命令 使 设置 生效 ， 如 图 10-30 所 示 


postalias hash:/etc/aliases 


10-30 ”使 /etc/aliases 生效 
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虽 点 评 与 拓展 : 在 讲述 aliases 的 几 个 实例 中 ， 可 以 看 到 /etc/aliases 文件 中 左 侧 的 虚 
拟 别名 既 可 以 是 实际 不 存在 的 用 户 名 ， 如 teacher 用 户 ; 也 可 以 是 实际 存在 的 系统 用 户 ， 如 
root. gao 用 户 。 


10.4 POP FA IMAP 服务 


应 用 实例 导航 一 一 利用 dovecot 架设 POP 服务 器 


※ 场 景 呈现 


该 科研 机 构 在 MTA 提供 SMTP 功能 服务 的 基础 上 ， 需 要 利用 POP 或 IMAP 服务 提供 
邮件 的 转发 和 本 地 的 分 发 功能 ,实现 完整 的 电子 邮件 服务 器 的 功能 。 要求 使 用 dovecot 服务 
实现 POP 服务 器 功能 


SCR SES 


(1) dovecot 的 安装 。 
(2) dovecot 的 配置 和 启动 。 


Postfix 只 是 一 个 MTA， 只 提供 SMTP 服务 ， 即 只 负责 邮件 的 转发 及 本 地 分 发 。 要 实现 
邮件 异地 接收 , 还 必须 安装 POP 或 IMAP 服务 。 通常 都 是 将 STMP 和 POP 或 IMAP 服务 安 
装 在 同一 台 主机 上 ， 这 台 主 机 即 称 为 电子 邮件 服务 器 。dovecot 就 是 可 以 同时 提供 POP 和 
IMAP 服务 的 软件 。 

Q 在 安装 dovecot 服务 前 ， 可 以 先 使 用 下 列 命令 检查 系统 是 否 已 经 安装 了 dovecot 


rpm -q dovecot 
系统 当前 如 果 还 没有 安装 dovecot 服务 ， 可 以 使 用 下 列 命令 进行 安装 : 
rpm -ivh dovecot-1.0-0.1.rc7.fc6.1386.rpm 


命令 执行 结果 如 图 10-31 所 示 。 


key ID 4f2a6fd2 


图 10-31 dovecot 的 安装 


© dovecot 服务 的 配置 文件 是 /etc/dovecot.conf， 要 启用 最 基本 的 dovecot 服务 ， 只 要 用 下 列 命 
令 修 改 配置 文件 中 的 相关 内 容 即 可 。 


A t 
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protocols = pop3 


listen - * 

第 一 条 语句 用 于 指定 电子 邮件 服务 主机 所 运行 的 服务 协议 ， 第 二 条 语句 用 于 指定 POP3 服 
务 所 监听 的 网 络 接口 ，“*” 表 示 监 听 本 机 上 所 有 网 络 接口 。 

命令 执行 结果 如 图 10-32 及 图 10-33 所 示 。 


图 10-32 ”指定 服务 协议 


*:10100 


A 10-33 ”指定 监听 的 网 络 接口 


Q 启动 dovecot 服务 的 命令 如 下 ， 关 闭 、 重 启 named 服务 ， 查 看 named 服务 状态 等 命令 格式 
JAEN. 
/etc/init.d/dovecot start 


/etc/init.d/dovecot (stoplrestart|reload|condrestart|status) 


启动 命令 执行 结果 如 图 10-34 所 示 。dovecot 和 Postfix 服务 安装 配置 完毕 后 ， 电 子 邮 件 客户 
端 就 可 以 利用 该 电子 邮件 服务 器 收发 邮件 了 


图 10-34 ”启动 dovecot 服务 


10.5 ”电子 邮件 客户 端的 配置 


电子 邮件 客户 端 软件 有 很 多 且 各 有 特色 ， 但 不 管 是 在 什么 样 的 操作 系统 平台 上 运行 ， 
各 个 客户 端 软件 配置 步骤 及 需要 设置 的 参数 基本 相同 。Evolution 是 一 个 以 邮件 处 理 为 中 心 ， 
集 日 程 安排 、 任 务 管理 等 功能 于 一 身 的 电子 邮件 客户 端 软 件 。 下 面 就 以 Evolution 为 例 来 详 
细 说 明 客户 端的 配置 。 
Q 单 击 桌面 上 的 电子 邮件 图 标 ， 如 果 是 第 一 次 运行 系统 则 会 打开 如 图 10-35 所 示 的 欢迎 界面 。 
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单 击 【 前 进 〗】 按 钮 ， 打 开 【 标 识 〗 设 置 界面 ， 分 别 输入 用 户 名 和 电子 邮件 地 址 ， 并 选中 【使 
它 成 为 我 的 默认 客户 〗】 复 选 框 ， 具 体 如 图 10-36 所 示 。 


欢迎 使 用 Evolution* 下 面 几 屏 将 允许 Evolution 连接 到 您 的 电子 
邮件 账户 ， 并 从 其 它 应 用 程序 中 导入 文件 。 


gu F-D” ips - 


图 10-35 【欢迎 】 界 面 


请 在 下 面 输 入 做 的 姓名 和 电子 邮件 地 址 。 下 面 的 “可 选 ” 域 
不 必 寺 入， 除非 您 想 要 在 您 竣 出 hp 件 中 也 语 此 信息 


请 求 的 信息 
280: [Admin-Tian 
AFARA [ane seugrdl.seu.edu.cn 


可 选 信息 
使 它 成 为 我 的 哑 让 账户) 


回复 到 P): [| Yl 
ARO): 


smo] [aa 
Æ 10-36 【标识 】 设 置 界面 


O 单 击 【 前 进 〗 按 钮 ， 打 开 【 接 收 电子 邮件 】 设 置 界面 ， 如 图 10-37 所 示 。 在 【服务 器 类 型 】 
下 拉 列 表 框 中 选择 接收 邮件 服务 器 类 型 ， 这 里 我 们 选择 POP。 在 【服务 器 】 文 本 框 中 输入 
接收 邮件 服务 器 主机 的 域名 或 IP 地 址 ， 这 里 输入 seugridl.seu.edu.cn。 在 【用 户 名 】 了 文本 杠 
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中 输入 用 户 账户 名 ， 这 里 输入 tian。 单 击 【检查 支持 的 类 型 】 按 钮 ， 先 让 客户 端 自动 测试 该 
邮件 服务 器 支持 的 认证 类 型 ， 再 从 【认证 类 型 〗 下 拉 列 表 框 中 选择 验证 用 户 密码 的 方式 ， 
这 里 选择 【密码 】〗 方 式 。 


接收 电子 邮件 


LEE d 


ABRET): POP, + 
LI 关于 连接 到 POP 服务 唱和 从 POP S BF RE 


Lii 
HABS): |seugicl seuedu.cn 
APAW: [ian J 


RÈ 
PARSERU): [rmm c ] r 
认证 类 型 
LJ E EL 3 


口 pm 


KMO) | ese | | eve 


1037 【接受 电子 邮件 】 设 置 界 面 
© 单 击 【 前 进 ] 按钮 ， 打 开 【 接 收 选项 】 设 置 界面 ， 选 中 【自动 检查 新 邮件 的 间隔】 复 选 框 ， 
再 根据 个 人 需要 设置 其 间隔 时 间 ， 我 们 这 里 选 “10”， 如 图 10-38 所 示 。 【信件 存储 】 选 项 
组 中 的 复 选 框 可 以 根据 用 户 需要 自行 选择 。 


XO esso [pmo] 
10-38 【接收 选项 】 设 置 界面 
O 单 击 【 前 进 】 按 钮 ， 打 开 【 发 送 电子 邮件 】 设 置 界 面 ， 如 图 10-39 所 示 ， 在 该 设置 界面 中 
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进行 如 下 设置 : 
在 【服务 器 类 型 〗 下 拉 列 表 中 选择 发 送 邮件 服务 器 的 类 型 ， 这 里 我 们 选择 SMTP。 在 【服务 
器 】 文 本 框 中 输入 发 送 邮件 服务 器 的 域名 或 了 了 地 址 ， 这 里 输入 seugridl1.seu.edu.cn。 如 果 发 
送 邮 件 服务 器 启用 了 认证 功能 ， 则 选中 【服务 器 需要 认证 〗 复 选 框 。 单 击 【 检 查 支持 的 类 
型 〗 按 钮 ， 先 让 客户 端 自动 测试 邮件 服务 器 所 支持 的 认证 类 型 ， 再 从 【类 型 〗 下 拉 列 表 框 


中 选择 密码 认证 方式 ， 这 里 我 们 选中 Login。 在 【用 户 名 】 文 本 框 中 输入 用 户 账户 名 tian. 
此 处 设置 类 似 于 POP 服务 器 的 设置 。 


发 送 电子 邮 件 
RGTENO DIGERE BOR - RIT TIU - 
WOOD KATRT TA TERE SATANS- 


BsarL0: [smr s] 


má: RRN « qium SMIP ESSO RI SN. 


l xm] cr Lomo] 
图 10-39 【发 送 电子 邮件 】 设 置 界面 


© 单 击 【 前 进 】 按钮 ， 打开 【账户 管理 〗 窗 口 ， 在 【名 称 】 文 本 框 中 输入 描述 性 名 称 ， 以 便 
于 账户 管理 。 再 继续 单 击 【 前 进 】 按 钮 ， 打 开 Timezone 设置 界面 ， 在 此 处 进行 时 区 设置 ， 
这 里 选择 “亚洲 /上 海 ”， 如 图 10-40 所 示 。 


JB Sz EE HCH BUESEII CERIS EE + 
RIEGO 


"E 


(xmo) | esse | [ emo] 


图 10-40 时 区 设置 
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Q 单 击 【 前 进 】 按 钮 ， 再 单 击 【应 用 】 按 钮 ， 保 存 设置 后 即 可 打开 Evolution 工作 窗口 ， 如 


图 10-41 所 示 . 这 样 我 们 就 完成 了 整个 初始 配置 过 程 .初始 化 配置 完成 后 ,就 可 以 在 Evolution 
工作 窗口 进行 收发 邮件 及 管理 邮件 等 工作 。 工 作 过 程 中 可 以 随时 根据 需要 改变 前 面 所 作 的 


设置 。 


文件 全 MIE FEV XRO 信件 M) GREG) WMH 


omj) B go o3 8 oO 


发 件 人 : "Evolution BRA" <evolution® ximian.com» 

”搜索 文件 夹 收 件 人 : Evolution 用 户 <evolution@ximian com> 
DEKR 主题: 欢迎 使 用 Evolutionl 

日 期 : 25 June 2002 14:45:00 +0300 (1945 CST) 


允许 Evolution 团队 
Evolution 


AL dd A 


10-41 Evolution 工作 窗口 


MASH: Evolution 客户 端 软件 类 似 于 Windows 下 面 的 Outlook 和 Foxmail 等 ， 
从 配置 方法 来 讲 更 类 似 于 Outlook 软件 。 


10.6 本 章 小 结 


本 章 主要 介绍 电子 邮件 服务 的 基本 概念 及 工作 原理 ,然后 介绍 自 Linux 诞生 以 来 应 用 最 
广泛 的 邮件 服务 器 软件 Sendmail 的 配置 ， 以 及 目前 广泛 流行 、 较 Sendmail 有 较 高 安全 性 的 
邮件 服务 器 软件 Postfix 的 安装 和 配置 。 在 介绍 这 两 种 软件 配置 的 同时 ， 还 穿插 介绍 了 两 种 
软件 的 发 展 及 其 区 别 。 基 于 Postfix 所 架设 的 邮件 转发 代理 , 介绍 如 何 使 用 dovecot 实现 POP 
和 IMAP 服务 。 最 后 简单 介绍 Linux 系统 下 邮件 客户 端 软件 Evolution 的 使 用 。 
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网 络 数据 库 主 要 为 网 络 用 户 提供 数据 的 存储 、 查 询 等 服务 ， 它 以 数据 库 管 理 系统 为 基 
础 ， 广 泛 用 于 各 类 网 站 、 搜 索引 擎 、 电 子 商 务 等 方面 。 本 章 主要 介绍 数据 库 管 理 系统 、SQL 
语言 等 数据 库 方面 的 基础 知识 ,然后 介绍 流行 数据 库 服务 器 软件 MySQL 的 安装 、 配 置 和 使 
用 ， 最 后 介绍 如 何以 图 形 化 的 方式 来 方便 地 管理 MySQL 服务 器 。 

通过 本 章 的 阅读 ， 读 者 应 掌握 以 下 内 容 : 

v 了 解数 据 库 管 理 系 统 、SQL 语言 等 基本 概念 
MySQL 的 安装 
MySQL 数据 库 的 管理 
MySQL 的 用 户 管 理 
熟悉 MySQL-Front 软件 的 使 用 
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11.4 MySQL 概述 


11.1.1. MySQL 简介 


MySQL 是 一 个 高 性 能 的 关系 型 数据 库 管理 系统 ， 具 有 功能 强大 、 灵 活性 好 的 应 用 编程 
接口 (APD 和 精巧 的 系统 结构 。MySQL 是 现今 世界 上 最 受 欢迎 的 开放 源 代码 数据 库 ， 受 到 了 
广大 软件 用 户 的 青睐 。 由 于 体积 小 、 速 度 快 、 总 体 拥 有 成 本 低 ， 尤 其 是 开放 源 代 码 这 一 特 
Ai. Internet 上 的 许多 中 小 型 网 站 都 选择 MySQL 作为 网 站 数据 库 。 

1E MySQL 数据 库 之 前 ，mSQL 作为 一 种 小 型 数据 库 得 到 广泛 使 用 。mSQL 比较 简单 ， 
进行 简单 SQL 语句 查询 时 速度 较 快 , 但 是 对 于 SQL 语句 的 支持 不 够 完善 , 基本 不 支持 风 套 
的 SQL 语句 。 此 外 ， 在 安全 性 方面 ，mSQL 可 靠 性 较 差 。 

1996 年 5 月 ,瑞典 的 TeX 公司 开发 出 MySQL 的 最 初版 本 ,随后 在 Internet. 上 公开 发 行 。 
目前 最 新 版 本 是 MySQL 5.1。 这 是 一 个 快速 、 性 价 比 高 的 数据 库 软件 ， 并 具有 足够 的 伸缩 
性 以 应 付 任何 数据 库 应 用 程序 。MySQL 采用 了 全 新 的 设计 思路 ， 引 进 了 许多 全 新 的 概念 ， 
其 主要 特征 如 下 。 

* MySQL 是 多 线程 、 多 用 户 的 数据 库 系统 ， 直 接 使 用 了 系统 核心 的 多 线程 内 核 ， 效 

率 相当 高 ， 并 意味 着 它 可 以 采用 多 CPU 体系 结构 。 
信 ”在 数据 库 客户 端 程序 上 ,MySQL XC, CH, Eiffel, Java, Perl, PHP, Python 
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和 TCL 等 多 种 编程 语言 提供 了 各 种 不 同 的 API， 极 大 方便 了 程序 编写 。 

* ”MySQL 可 运行 在 多 种 平台 上 ， 支 持 AIX, FreeBSD, HP-UX, Linux, MacOS, 
Novell Netware, OpenBSD, OS/2 Wrap. Solaris, Windows 等 多 种 操作 系统 ， 因 此 
可 以 进行 跨 系统 的 开发 。 

* MySQL 性 能 高 效 稳定 ， 它 与 当前 的 其 他 数据 库 相 比 性 能 都 不 差 ，Google、Cisco、 
Yahoo 等 都 用 它 作为 数据 库 引 擎 。 

今 “ 有 一 个 灵活 安全 的 权限 和 口令 系统 ， 并 且 允 许 基 于 主机 的 认证 。 当 与 一 个 服务 器 
连接 时 ， 所 有 的 口令 传送 都 被 加 密 。 

今 “ 支 持 拥 有 上 千 万 条 记录 的 大 型 数据 库 处 理 ， 可 以 对 某 些 包含 50000000 个 记录 的 
数据 库 使 用 MySQL 。 

+ HEt TCP/IP, ODBC fil JDBC 等 多 种 数据 库 连 接 途 径 。 

今 “ 既 可 作为 单独 的 应 用 程序 使 用 在 客户 端 服务 器 网 络 环境 中 ， 也 可 作为 一 个 库 嵌 入 
到 其 他 软件 中 提供 多 语言 支持 。 

MySQL 由 于 设计 上 的 革新 ， 其 整体 性 能 与 mSQL 相 比 改进 很 多 ,尤其 是 复杂 语句 的 执 

行 速度 有 很 大 提高 。 


11.4.2. 数据库 管理 系统 简介 


数据 库 管理 系统 (DBMS) 是 位 于 用 户 与 操作 系统 之 间 的 一 层 数 据 管 理 软 件 ， 用 户 对 数据 
库 数 据 的 任何 操作 都 是 在 DBMS 管理 下 完成 的 , 应 用 程序 只 有 通过 DBMS 才能 和 数据 库 进 
行 交互 。 数 据 库 管理 系统 的 主要 功能 包括 以 下 几 个 方面 。 
分 ”数据 库 定义 ，DBMS 提供 数据 定义 语言 ， 用 户 通过 它 可 以 方便 地 对 数据 库 中 的 数 
据 对 象 进行 定义 。 
分 ”数据 操作 : DBMS 提供 数据 操作 语言 ,用户 可 以 使 用 DML 操纵 数据 实现 对 数据 库 
的 基本 操作 ， 如 查询 、 插 入 、 删 除 和 修改 等 。 
今 “ 数 据 库 建立 和 维护 :数据 库 初 始 数据 的 输入 、 转 换 ， 数 据 库 的 转 储 、 恢 复 ， 数 据 
库 的 重组 、 性 能 监视 及 分 析 功 能 等 。 通 常 由 实用 程序 完成 这 些 功能 。 
今 “ 数 据 库 运 行 控制 : 数据 库 再 建立 、 运 用 和 维护 时 由 数据 库 管 理 系 统统 一 管理 、 统 
一 控制 ， 以 保证 数据 的 安全 性 、 完 整 性 、 多 用 户 对 数据 的 并 发 使 用 及 发 生 故 障 后 
的 系统 恢复 。 


11.2 ”SQL 语言 发 展 简介 


SQL(Structured Query Language) 语 言 最 早 是 由 IBM 的 San Jose Research Laboratory( 圣 约 
瑟 研 究 实 验 室 ) 为 其 关系 数据 库 管 理 系统 SYSTEM R 开发 的 一 种 查询 语言 ， 它 的 前 身 是 
SQUARE 语言 。SQL 语言 结构 简洁 ， 功 能 强大 ， 简 单 易 学 ， 所 以 自从 1981 年 IBM 公司 推 
出 以 来 ，SQL 语言 得 到 了 广泛 应 用 ， 深 受 计算 机 工业 界 欢迎 ， 被 许多 计算 机 及 软件 公司 采 
用 。 经 各 公司 不 断 修改 、 扩 充 和 完善 ，SQL 语言 最 终 发 展 成 为 关系 数据 库 的 标准 语言 。 
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目前 , 无 论 是 Oracle、Sybase、Informix、SQL Server 等 大 型 数据 库 管理 系统 , 还 是 Visual 
Foxporo, PowerBuilder 等 微机 上 常用 的 数据 库 开 发 系统 ， 都 支持 SQL 语言 作为 查询 语言 。 
1986 年 ANSI( 美 国 国家 标准 局 ) 数 据 库 委 员 会 批准 SQL 作为 关系 数据 库 语 言 的 美国 标 
准 ， 同 年 又 公布 了 SQL 标准 文本 。1987 年 ISO( 国 际 标准 化 组 织 ) 也 通过 了 这 一 标准 。 此 后 
ANSI 又 不 断 修改 、 完 善 该 标准 。SQL 成 为 国际 标准 语言 后 ， 各 数据 库 厂 家 纷纷 推出 各 自 的 
SQL 软件 及 其 接口 软件 。 于 是 ，SQL 就 成 为 大 多 数 数据 库 共 同 的 数据 存 取 语 言 和 标准 接口 ， 
使 不 同 数据 库 系 统 间 的 互 操 作 有 了 共同 基础 ， 这 个 意义 十 分 重大 。 

SQL 语言 目前 已 成 为 数据 库 领 域 的 一 个 主流 语言 。 而 SQL 作为 国际 标准 ， 对 数据 库 以 
外 的 领域 也 产生 了 巨大 影响 。 


11.3 MySQL 服务 器 的 安装 与 管理 


11.3.1 MySQL 的 安装 


应 用 实例 导航 一 一 为 S 学 校 安装 MySQL 服务 器 


※ 场 景 呈现 


S 学 校 需要 架设 网 络 数据 库 ， 选 用 MySQL 软件 。 需 要 首先 安装 MySQL 数据 库 软件 ， 
为 了 安全 起 见 ， 需 要 创建 mysql 用 户 用 于 启动 MySQL 数据 库 。 


BORSE SRI 


(1) MySQL 数据 库 的 安装 。 
(2) MySQL 数据 库 的 启动 。 


MySQL 是 一 个 使 用 广泛 的 数据 库 管理 系统 ，Fedora 6 可 以 选择 默认 安装 MySQL 数据 
库 ， 尽 管 如 此 ， 本 节 仍 需 介绍 压缩 包 形式 的 MySQL 的 安装 方法 ， 此 安装 方法 同样 适用 于 
RedHat 等 其 他 Linux 版 本 ,如 果 Linux 已 经 附带 安装 MySQL 则 可 上 略 过 本 节 的 阅读 。 安装 步 
又 如 下 。 
Q 将 MySQL 安装 包 mysql-5.0.18.tar.gz 复制 到 /usrt/local 后 ， 使 用 下 面 命令 解压 缩 该 安装 包 ， 
如 图 11-1 所 示 ， 解 压 成 功 后 生成 /nsrlocal/openldap-2.3.38 目录 。 


tar -zxvf mysql-5.0.18.tar.gz 
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图 11-1 解压 MySQL 安装 包 


Q 进入 MySQL 的 安装 目录 ， 输入 下 面 命令 进 4 


安装 配置 ， 如 图 11-2 所 示 。 
./configure --prefix-/usr/local/mysql 

配置 参数 的 说 明 如 下 : 
-prefix-/usr/local/mysql 指定 了 


了 MySQL 的 安装 目录 为 /usr/local/mysql。 


图 11-2 配置 MySQL 安装 包 
图 11-3 显示 配置 MySQL 安装 包 结束 。 


图 11-3 配置 MySQL 安装 包 结束 
© 配置 完毕 后 ， 接 着 就 是 编译 MySQL 数据 库 安装 包 ， 输 入 下 面 命令 编译 ， 如 图 11-4 所 示 。 


编译 过 程 需要 较 长 时 间 ， 一 般 的 PC 需要 6 一 10 分 钟 ， 服 务 器 视 性 能 而 异 


Make 


O 编译 无 误 后 ， 就 可 以 安装 MySQL 数据 库 安 装 包 了 ， 输 入 下 面 命令 进行 安装 ， 如 图 11-5 所 
安装 过 程 大 概 1~2 分 钟 


示 


make install 
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图 11-5 安装 MySQL 安装 包 


[5] 安装 完毕 后 , 以 管理 员 root 身份 进入 安装 目录 /usr/local/mysql F, 使 用 下 面 命令 
默认 的 数据 表 ,， 如 图 11-6 所 示 。 这 些 表 的 作用 大 都 用 来 管理 用 户 权 限 , 详细 用 途 将 在 11.3.3 


节 中 介绍 


bin/mysql_install db --user=mysql 


imin -u 
-u 


图 11-6 ”安装 MySQL 数据 库 默 认 表 
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O 接着 ， 因 为 用 mysql 用 户 启动 MySQL 数据 库 时 要 在 某 些 目录 下 创建 一 些 文件 ， 因 此 将 
/usr/local/mysql/. 目 录 和 /usr/local/mysql/var 目录 的 用 户 赋 给 mysql 用 户 , 并 将 /nsrlocalmysql/. 
目录 的 群 组 权限 也 赋 给 mysql 组 。 然 后 使 用 下 面 命令 启动 MySQL 数据 库 ， 如 图 11-7 所 示 。 


bin/mysqld safe- -user-mysql & 


“&” 符 号 表示 mysqld 进程 在 后 台 运 行 ， 如 果 启 动 命令 后 不 加 上 此 符号 ，shell 命令 行将 挂 起 
(suspend)， 即 该 shell 命令 行 不 再 接受 任何 其 他 命令 。 


图 11-7 启动 mysql 服务 
[7] 如 果 需 要 开机 即 启动 mysqld 进程 ， 可 以 将 启动 命令 写 入 /etc/re.local 文件 ， 如 图 11-8 所 示 。 


11-8. 设置 开机 即 启动 MySQL 


LOWE WARE: 为 何 用 mysql 启动 MySQL 数据库， 而 不 用 root 用 户 呢 ? 这 个 原因 
在 前 面 章 节 多 次 谈 过 ， 比 如 vsftpd、postfix 等 ， 都 是 为 了 将 进程 的 权限 等 级 降低 ， 使 它 不 能 
操作 其 他 目录 或 控制 其 他 进程 


11.3.2 MySQL 数据 库 的 管理 


应 用 实例 导航 一 一 S 学 校 的 MySQL 数据 库 管理 


※ 场 景 呈现 


S 学 校 安装 好 MySQL 软件 后 ， 需 要 建立 一 个 用 于 存放 学 生 信 息 的 数据 库 ， 数 据 库 名 字 
为 person， 并 在 其 中 建立 一 张 名 字 为 basicinfo 的 表 记 录 学 生 的 基本 信息 ， 包 括 学 号 、 名 字 、 
性 别 、 住 址 、 电 话 等 信息 。 
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另外 ， 还 需要 为 MySQL 数据 库 的 管理 员 设 置 密码 ， 并 在 basicinfo 表 的 名 字 字段 上 建 


立 索 引 。 
KAREM 


(1) MySQL 数据 库 管 理 员 密码 的 管理 。 

(2) MySQL 数据 库 的 创建 和 删除 。 

(3) MySQL 数据 库 中 表 的 创建 、 复 制 、 删 除 和 修改 。 
(4) 表 中 数据 的 插入 、 删 除 和 修改 。 

(5) MySQL 数据 库 索引 的 创建 和 删除 。 


1. MySQL 管理 员 密码 修改 和 登录 


如 果 是 第 一 次 安装 MySQL， 访 问 数据 库 服 务 器 的 用 户 只 能 是 管理 员 ( 即 root 用 户 )。 默 
认 情 况 下 root 的 初始 密码 为 空 ， 本 地 连接 MySQL 时 输入 mysql 即 可 。 如 果 要 修改 MySQL 
管理 员 密 码 ， 需 先 退 出 MySQL 命令 状态 ， 然 后 再 使 用 下 列 命令 。 


mysqladmin -u root password seugrid 


用 上 面 的 命令 就 将 用 户 密码 修改 为 seugrid， 如 图 11-9 所 示 。 


sec bin]# ./mys 


图 11-9 修改 root 密码 


若 要 以 管理 员 root 的 身份 连接 到 本 机 MySQL， 可 以 使 用 下 列 命令 。 
mysql -u root -p 


在 系统 提示 “Enter password:” 后 面 输入 密码 即 可 ， 如 图 11-10 所 示 。 密 码 如 果 不 正确 
则 出 现 如 图 11-11 所 示 的 提示 。 


1 


p] 


11-10 ”登录 MySQL 时 需要 输入 密码 
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图 11-11 root 用 户 密码 输入 错误 


2. 数据 库 的 创建 和 删除 


MySQL 是 个 符合 标准 的 关系 型 数据 库 管 理 系统 ， 可 以 很 好 识别 SQL 语言 。 所 以 ， 和 
在 许多 其 他 关系 型 数据 系统 中 一 样 ,，SQL 的 数据 定义 语言 (DDL) 也 可 以 用 来 创建 、 删 
BR MySQL 中 的 数据 库 。 用 户 登录 MySQL 后 ， 所 有 SQL 语句 都 是 在 命令 提示 符 “mysql>” 
后 输入 ， 每 个 语句 都 以 符号 “; ”或 “\g” 结 束 。 另 外 ， 大 小 写字 母 皆 可 输入 。 

若 要 创建 一 个 名 为 person 的 数据 库 ， 可 以 输入 下 列 命令 。 


mysql»create database person; 


该 命令 执行 结果 如 图 11-12 所 示 。 需 要 注意 的 是 ， 默 认 情 况 下 创建 的 数据 库 是 保存 在 
/varlib/mysql 目录 下 ， 且 系统 不 允许 数据 库 重 名 。 创 建 数据 库 后 ， 可 以 使 用 下 列 命令 查看 当 
前 所 有 数据 库 。 


mysql»show databases; 


二 一 一 一 一 一 十 一 十 六 


图 11-12 创建 名 为 person 的 数据 库 
命令 执行 结果 如 图 11-13 所 示 。 
为 了 演示 删除 数据 库 的 操作 ， 创 建 一 个 临时 数据 库 persontemp， 如 图 11-14 所 示 。 然 后 


可 以 通过 下 面 命令 删除 数据 库 (包括 删除 该 数据 库 中 的 所 有 表 及 表 中 数据 )。 使 用 删除 命令 
后 ， 再 次 使 用 show databases 命令 查看 数据 库 ， 可 以 看 到 persontemp 数据 库 已 经 被 删除 ， 如 
图 11-15 所 示 。 


mysql» drop database persontemp; 
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图 11-15 ”删除 临时 数据 库 


SS 
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删除 和 修改 
-行为 一 个 记录 ， 每 个 


3. 表 的 创建 、 复 制 、 
是， 每 个 表 由 行 和 列 组 成 ， 每 
复制 、 删 除 和 修 


关系 型 数据 库 中 的 表 用 来 存储 数据 
含 多 个 列 。MySQL 可 以 使 用 SQL 的 数据 定义 语言 (DDL) 来 创建 


记录 可 包含 多 
某 个 数据 库 的 表 进 行 操作 ， 


首先 要 选择 


改 表 结构 。 
数据 库 管理 系统 中 包含 多 个 数据 库 ， REDE 
可 使 用 下 列 命令 。 


该 数据 库 。 若 要 选择 前 面 所 创建 的 person 数据 库 
mysql»use person; 
命令 执行 结果 如 图 11-16 所 示 ，shell 显示 Database changed， 表 示 选 择 数 据 库 成 功 。 


11-16 选择 person 数据 库 
可 输入 如 图 11-17 所 示 的 
， 最 后 以 “; ”结束 全 部 命令 。 


图 


命令 。 为 便于 输入 


-个 名 为 basicinfo 的 d 命令 
回 车 键 结束 


在 数据 库 中 创建 
和 检查 ， 可 分 行 输入 命令 ， 每 行 
info ( 
ull, 
null, 


"m", 


11-17 创建 basicinfo 表 
令 查看 所 建 表 的 结构 。 


可 用 describe 命令 


创建 basicinfo 表 后 ， 具体 命令 格式 如 下 : 
mysql>describe basicinfo 
命令 执行 结果 如 图 11-18 所 示 。 
为 了 方便 用 户 创建 新 表 ，MySQL 还 提供 了 入 


来 复制 表 结构 : 
create table 新 表 名称 like 源 表 名 称 
男 一 个 表 obasic， 


表 basicinfo 复制 成 另 


复制 表 结 构 功 能 。 可 以 使 用 下 列 SQL 命令 


A 


例如 若 要 将 可 以 使 用 下 列 命令 : 


mysql»create table obasic like basicinfo 
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NULL 
NULL 
NULL 


11-18 ”查看 basicinfo 表 
该 命令 执行 结果 如 图 11-19 所 示 。 


NULL 
NULL 
NULL 


图 11-19 复制 表 
MySQL 还 提供 了 删除 数据 库 中 一 个 或 多 个 表 的 命令 ， 命 令 格式 如 下 : 
drop table 表 名 称 1[, X498 2,..]; 
若 要 删除 表 obasic， 则 可 以 使 用 下 列 命令 : 


mysql»drop table obasic; 


该 命令 执行 结果 如 图 11-20 所 示 。 


ERE 妇 表 结构 ， 比 如 增加 、 删 除 或 修改 表 中 字段 ， 更 改 表 的 名 称 、 类 型 ， 


" 


销 索 引 ， 等 等 ， 则 可 以 使 用 alter 命令 ， 命 令 格式 如 下 : 


alter table 表 名 称 更 改动 作 1 [, 更 改动 作 2,.…] 


例如 若 要 将 表 basicinfo 中 address 字段 的 类 型 从 varchar(30) 变 为 varchar(35)， 


用 下 列 命令 : 


创建 、 撤 


则 可 以 使 
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mysql»alter table basicinfo modify address varchar (35); 


图 11-20 WRR 


“ 段 email， 则 可 以 使 用 下 列 命令 : 


若 要 在 表 basicinfo 中 增加 
mysql»alter table basicinfo add email varchar(20); 


上 述 两 个 命令 的 执行 结果 如 图 11-21 所 示 


m 
NULL 
NULL 
NULL 
NULL 


图 11-21 ”更改 字段 类 型 和 增加 字段 


若 要 将 表 basicinfo 中 phonenum 字段 的 名 称 变 为 cellphone， 且 将 该 字 
varchar(15)， 则 可 以 使 用 下 列 命令 : 


mysql>alter table basicinfo change phonenum cellphone varchar (15); 
若 要 在 表 basicinfo 中 删除 一 个 字段 email， 则 可 以 使 用 下 列 命令 : 
mysql>alter table basicinfo drop email; 
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上 述 两 个 命令 的 执行 结果 如 图 11-22 所 示 。 


char (15); 


图 11-22 ”更 改 字段 名 及 类 型 和 删除 字段 


若 要 将 表 basicinfo 的 名 称 改 为 infomation， 则 可 以 使 用 下 列 命令 : 
mysql>alter table basicinfo rename to infomation; 


命令 执行 结果 如 图 11-23 所 示 


11-23 更 改 表 名 称 


ps] 


4. 表 中 数据 的 插入 、 删 除 和 修改 


建立 数据 库 和 表 后 ， 紧 接着 就 是 在 表 中 存储 数据 。 在 MySQL 中, 通 1 
言 (DML) 来 插入 、 删 除 和 修改 表 中 记录 。 本 节 
包括 数据 的 插入 、 删 除 和 修改 。 

首先 介绍 表 中 数据 的 插入 命令 ， 命 令 格式 如 下 : 


常 使 用 


月 数据 操作 语 
让 绍 对 数据 库 表 中 数据 进行 操作 的 各 种 命令 ， 
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insert into 表 名 称 (字段 名 1， 字 段 名 2，.…) 
values (字段 1 的 值 ， 字 段 2 的 值 ，.…) ; 


例如 若 要 在 表 infomation 中 插入 一 组 数据 ， 可 以 使 用 下 列 命令 : 


mysql» insert into infomation (novname, sex,birthday, cellphone, address) 
-> values ('0081','YY','f','1982-01-08','025-6754313', 'NNU'); 


AA 


命令 执行 结果 如 图 11-24 所 示 。 由 图 可 知 ， 插 入 记录 后 可 用 select 语句 查看 所 插 记录 是 
否 正确 。 


图 11-24 ”插入 记录 


4 


还 可 以 连续 插入 多 条 记录 ， 比 如 要 在 表 infomation 中 插入 两 条 记录 ， 可 以 使 
用 下 面 insert 的 缩写 命令 格式 : 


insert 命令 


mysql» insert into infomation values 


-» ('0071','BOB','m','1986-09-11','025-8374313', 'SEU'), 


-» ('0099','TT', ,'1985-06-09','025-6434313', 'NJUPT'); 
命令 执行 结果 如 图 11-25 所 示 


into infomation 


图 11-25 ”连续 插入 记录 
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其 次 介绍 表 中 数据 的 修改 命令 ， 它 用 于 表 中 数据 的 更 新 ， 命 令 格式 如 下 ; 
UPDATE 表 名 称 SET 字段 名 1= 字 段 值 1 [, 字 段 名 2—T BUB 2,..] 
WHERE 条 件 表达 式 ; 


若 要 修改 表 infomation 中 no 字段 值 为 0071 的 记录 ， 将 其 对 应 的 birthday 值 改 为 
19870505，cellphone 值 改 为 025-8379324， 可 以 使 用 下 列 命令 : 
mysql» update infomation set birthday-19870505 , cellphone-'025 -8379324' 


where no-'0071'; 


命令 执行 结果 如 图 11-26 所 示 。 


图 11-26 ”修改 记录 
最 后 介绍 表 中 数据 的 删除 命令 ， 命 令 格式 如 下 : 


DELETE FROM 表 名 称 WHERE 条 件 表达 式 ; 


若 要 删除 表 infomation 中 no 字段 值 为 0099 的 记录 ， 可 以 使 用 下 列 命令 : 


mysql» delete from infomation where no= '0099' 


命令 执行 结果 如 图 11-27 所 示 


V] 


11-27 ”删除 记录 


5. 索引 的 创建 和 删除 

何谓 数据 库 索引 呢 ? 它 类 似 于 书籍 中 的 索引 。 在 书籍 中 ， 索 引 使 读者 不 必 翻 阅 整 本 书 
就 能 迅速 地 找到 所 要 查阅 的 条 目 。 在 数据 库 中 ， 索 引 也 允许 数据 库 程序 迅速 地 找到 表 中 的 
数据 ， 而 不 必 扫 描 整 个 数据 库 ， 这 是 一 种 加 快 检索 表 中 数据 的 方法 

MySQL 提供 了 创建 和 删除 索引 的 命令 ， 使 用 CREATE INDEX 命令 语句 可 以 向 已 经 存 
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在 的 表 中 添加 索引 ， 其 基本 命令 格式 如 下 : 


CREATE [UNIQUE] INDEX 索引 名 ON 表 名 称 (字段 名 1[ (长 度 ) ] ，…) ; 
若 要 为 表 information 的 name 字段 创建 名 为 iname 的 索引 ， 可 以 使 用 下 列 命令 格式 : 
mysql» create index iname on information (name); 


命令 执行 结果 如 图 11-28 所 示 。 


z iname on information (name); 


图 11-28 ”创建 索引 
DROP INDEX 命令 语句 用 于 删除 索引 ， 其 基本 命令 格式 如 下 : 
DROP INDEX 索引 名 ON 表 名 称 ; 
若 要 删除 表 information 中 名 为 iname 的 索引 ， 可 以 使 用 下 列 命令 格式 : 
mysql>drop index iname on information; 


命令 执行 结果 如 图 11-29 所 示 。 


图 11-29 ”删除 索引 


LO EVE STRE: 每 次 修改 完 数据 库 中 的 表 后 ， 都 最 好 用 describe 命令 来 检查 一 下 修 
改 结 果 。 另 外 ， 使 用 UPDATE 语句 修改 表 中 数据 时 ， 如 果 忘 了 用 WHERE 子 句 进行 限制 ， 
很 有 可 能 导致 大 量 数据 被 破坏 。 


11.3.3 MySQL 服务 器 的 用 户 管理 


应 用 实例 导航 一 一 S 学 校 MySQL 用 户 管理 


※ 场 景 呈现 


为 了 远程 对 S 学 校 的 person 数据 库 进 行 管理 , 需要 建立 一 个 名 字 为 guest 的 用 户 , 允许 
该 用 户 从 任意 主机 都 能 登录 ， 并 对 它 赋 于 一 定 权 限 ， 使 其 可 以 对 person 数据 库 进 行 一 切 操 
作 ， 具 备 与 管理 员 对 person 数据 库 一 样 的 权限 。 
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XARA 
(1) MySQL 数据 库 访问 控制 原理 。 


(2) MySQL 数据 库 用 户 的 创建 和 删除 。 
(3) MySQL 数据 库 用 户 的 授权 和 撤销 。 


1. MySQL 服务 器 的 访问 控制 

首次 安装 MySQL 时 , 安装 程序 会 在 数据 库 mysql 中 设置 5 个 授权 表 , 即 user, db, host, 
tables_priv、columnts_priv。 这 5 个 表 共同 决定 可 以 连接 到 数据 库 服务 器 的 用 户 、 从 哪 连接 
以 及 其 可 以 执行 在 初始 化 后 ， 有 3 个 表 (host、ables_priv、columnts_priv) 为 空 ， 则 
user, db 这 两 个 表 就 决定 了 MySQL 的 默认 访问 规则 。 

2. 用 户 的 创建 和 删除 


user 表 从 用 户 角 度 规定 了 用 户 账户 的 权限 , 若 要 查看 MySQL 数据 库 中 表 user 前 四 个 字 
段 的 内 容 ， 可 以 使 用 下 列 命令 格式 : 


mysql»select host,user,password,select priv from mysql.user; 


命令 执行 结果 如 图 11-30 所 示 ， 由 图 可 知 ，root 用 户 具有 从 本 地 主机 和 主机 seugrid 登 
录 的 权限 ， 且 密码 以 加 密 形 式 存放 。 


11-30 mysql.user 表 的 内 容 


db 表 规 定 了 数据 库 的 被 访问 权限 , 若 要 查看 MySQL 数据 库 中 表 db 前 四 个 字段 的 内 容 ， 
可 以 使 用 下 列 命令 格式 ;: 


mysql>select host,db,user,select priv from mysql.db; 


命令 执行 结果 如 图 11-31 所 示 ， 由 图 可 知 ，seugrid 数据 库 允许 从 任意 主机 的 用 户 访问 。 
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图 11-31 mysql.db 表 前 4 个 字段 内 容 


那么 如 何 为 数据 库 开 放 一 个 用 户 ， 使 其 可 以 从 任意 主机 连接 到 数据 库 服务 器 呢 ? 若 要 
创建 一 个 新 用 户 guest 满足 上 述 要求 ， 可 以 使 用 下 列 命令 : 


mysql»insert into mysql.user (host,user,passwo 


rd) 


-»values ('$','guest',password('guest')); 


要 用 到 password( ) 函 码 加 密 ， 这 样 表 user 的 password 字段 中 保存 的 就 是 
码 。 命 令 执 行 结果 如 图 11-32 所 示 ， 由 图 可 知 ，user 表 中 已 经 成 功 添加 了 guest 


图 11-32 创建 新 用 户 
接 下 来 需要 重 载 MySQL 授权 表 ， 可 以 使 用 下 列 命 令 实现 : 


mysql>flush privileges; 

命令 执行 结果 如 图 11-33 所 示 。 

guest 用 户 创建 成 功 后 ， 就 可 以 从 远程 客户 端 使 用 下 列 命令 连接 数据 库 服务 器 ， 进 而 用 
来 测试 新 建 用 户 是 否 可 用 。 


mysql -h 172.18.12.179 -u guest -p 
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图 11-33 ” 重 载 授权 表 


在 用 户 正确 输入 密码 后 ， 就 可 成 功 连接 到 数据 库 服 务 器 了 。 使 用 命令 show databases 可 
以 查看 用 户 当前 可 以 使 用 的 数据 库 。 命 令 执 行 结果 如 图 11-34 所 示 。 


m 


图 11-34 ”远程 客户 端 连接 数据 库 服务 器 


如 果 要 关闭 远程 主机 连接 数据 库 服务 器 的 功能 ， 只 需 删除 用 户 guest 即 可 ， 可 以 使 用 下 
列 命令 实现 ; 


mysql>delete from mysql.user where user-'guest'; 


删除 后 需要 用 命令 flush privileges E MySQL 授权 表 , 命令 执行 结果 如 图 11-35 所 示 。 


ps] 


11-35 ”删除 guest HA 
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3. 用 户 权限 的 授予 和 撤销 


为 了 方便 地 管理 用 户 的 权限 ，MySQL 数据 库 提 供 了 授予 和 撤销 用 户 权限 的 命令 ， 下 面 
举例 说 明 这 些 命令 的 用 法 。 

若 要 授予 用 户 guest 可 从 任意 主机 连接 到 数据 库 服 务 器 , 并 可 完全 访问 person 数据 库 的 
权限 ， 可 以 使 用 下 列 命令 : 


mysql»grant all on person.* to guest8'$' identified by 'guest 


命令 执行 结果 如 图 11-36 所 示 。 


图 11-36 将 person 数据 库 授权 给 guest AA 


若 要 新 建 一 个 用 户 lab, A 可 以 从 子 网 172.18.12.0. 中 任何 主机 连接 到 数据 库 服务 器 ， 
进而 可 读 取 person 数据 库 内 容 ， 可 使 用 下 列 命令 格式 : 


mysql»grant select on person.* to lab@' 172.18.12.*' identified by 'grid'; 


命令 执行 结果 如 图 11-37 所 示 。 这 条 命令 表示 ，lab 用 户 以 grid 为 密码 可 以 从 子 网 
172.18.12.0 中 的 任何 主机 连接 到 数据 库 服务 器 ， 并 可 访问 person 数据 库 


' identified by 


图 11-97 ”授予 用 户 不 同 级 别 访问 权限 


可 以 使 用 下 列 命令 查看 表 mysqluser 中 与 用 户 lab 有 关 的 记录 ， 以 检验 上 一 条 命令 : 


mysql»select host,user,password,select priv from mysql.user where 
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user-'lab'; 
命令 执行 结果 如 图 11-38 所 示 。 由 图 可 见 ，MySQL 创建 了 用 户 lab 并 设置 了 密码 ，lab 
可 以 从 子 网 172.18.12.0/24 中 任 一 主机 连接 到 数据 库 服 务 器 ， 但 授权 表 user 中 与 lab 对 应 的 
用 以 设置 全 局 权限 的 各 个 字段 值 都 为 N( 如 本 例 中 的 select. priv 字段 )， 所 以 MySQL 并 没有 
授予 lab 任何 全 局 权限 。 


图 11-38 EAR mysql.user 中 的 内 容 
查看 表 mysql.db 中 与 用 户 lab 相关 的 记录 可 以 使 用 如 下 命令 : 
mysql>select host,db,user,select priv from mysql.db; 


命令 执行 结果 如 图 11-39 所 示 。 由 图 可 知 ， 授 权 表 db 中 与 用 户 lab 对 应 的 用 以 设置 权 
限 的 select priv 字段 值 为 Y， 所 以 用 户 lab 有 权限 浏览 数据 库 person 中 的 内 容 。 


7 identified 


图 11-39 ”查看 mysql.db 表 中 的 内 容 

除了 创建 新 用 户 以 外 ， 还 可 以 对 已 有 用 户 的 权限 进行 变更 。 若 要 授予 用 户 guest 从 本 地 
x 数据 库 服务 器 并 对 person. 数据 库 可 完全 访问 的 权限 ， 且 可 以 将 其 所 有 权限 授予 别 的 
用 户 ， 则 可 使 用 下 列 命 令 : 


mysql»grant all on person.* to guest@localhost identified by 'guest" 


-»with grant option; 


命令 执行 结果 如 图 11-40 所 示 。 
为 用 户 guest 授权 后 ， 可 以 使 用 下 列 命令 检查 授予 该 用 户 的 权限 : 


mysql> show grants for guest8localhost; 


命令 执行 结果 如 图 11-41 所 示 。 


2 
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t identifi 


图 11-41 检查 guest 用 户 管理 权限 


与 上 一 命令 相反 ， 若 要 撤销 用 户 guest@localhost 对 person 数据 库 所 有 的 创建 、 删 除数 
据 库 表 的 权限 ， 可 以 使 用 下 列 命令 : 


mysql»revoke create,drop on person.* from guest@localhost; 


命令 执行 结果 如 图 11-42 所 示 。 


n.* from guestGlocalhost; 


图 11-42 ”撤销 guest 的 创建 和 删除 表 的 权限 


四 点 评 与 拓展 : MySQL 提供 了 两 种 修改 授权 表 中 访问 权限 的 方法 :一 是 用 INSERT, 
UPDATE. DELETE 等 DML 语句 来 修改 信息 ; 二 是 用 GRANT 和 REVOKE 语句 。 第 一 种 
方法 虽然 直观 ， 但 各 授权 表 中 字段 数 很 多 ， 容 易 出 错 ， 所 以 通常 使 用 第 二 种 方法 ， 


11.4 ”使 用 MySQL-Front 软件 图 形 化 管理 MySQL 


应 用 实例 导航 一 一 利用 MySQL-Front 管理 S 学 校 MySQL 数据 库 


KREM 


为 了 方便 地 对 MySQL 数据 库 进行 管理 , S 学 校 利用 MySQL-Front 对 MySQL 数据 库 服 
务 器 以 图 形 化 的 方式 进行 管理 ， 使 用 MySQL-Front 执行 在 person 数据 库 中 添加 和 删除 表 、 
添加 和 删除 表 的 字段 和 数据 等 操作 。 

在 熟悉 MySQL-Front 的 基本 操作 的 基础 上 ,学校 需 要 建 一 张 学 生 选课 表 , 名 字 为 course， 
里 面 记 录 了 学 生 的 选课 情况 ， 字 段 包括 : 学 号 、 课 程 名 1、 课程 名 2、…… 等 。course 表 与 
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学 生 基本 信息 information 表 通 过 学 生 学 号 相 联系 ; 要 求 利用 MySQL-Front 软件 实现 两 个 表 
的 连接 操作 ， 列 出 course 表 和 information 表 中 都 有 记录 项 的 学 生 信 息 。 


(1) MySQL-Front 的 基本 操作 。 
(2) 利用 MySQL-Front 实现 数据 库 表 之 间 的 连接 操作 。 


11.4.1 MySQL-Front 软件 的 基本 操作 


本 节 介 绍 Windows 下 常用 的 图 形 化 管理 MySQL 数据 库 的 软件 ， MySQL-Front 是 一 款 
实用 的 管理 MySQL 的 应 用 程序 ， 主要 功能 包括 多 文档 界面 的 编写 , 提供 拖 搜 方式 管理 数据 
库 和 表格 , 可 提供 对 域 和 数据 记录 的 编辑 、 增 加 、 删 除 功能 ,提供 执行 的 SQL 脚本 的 功能 ， 
提供 与 外 程序 接口 ， 以 及 保存 数据 到 CSV 文件 等 功能 。 

从 本 书 光盘 或 者 Internet 下 载 , 可 以 获得 安装 包 MySQL-Front 3.2 版 本 , 双击 step by step 
式 进 行 安装 ， 安 装 过 程 不 再 详 述 。 

Q) MySQL-Front 安装 完毕 后 ， 双 击 打 开 MySQL-Front， 弹 出 如 图 11-43 所 示 的 初始 界面 ， 首 

先 需要 输入 登录 会 话 的 名 称 ， 该 值 不 能 省 略 。 


11-43 MySQL-Front 的 初始 界面 


O 切换 至 【连接 〗 选 项 卡 ， 进 行 连接 服务 器 IP 地 址 和 端口 的 设 定 ， 本 例 的 MySQL 数据 库 IP 
地 址 为 172.18.12.179， 端 口 默 认为 3306， 如 图 11-44 所 示 。 其 他 选项 都 使 用 默认 的 方式 即 可 。 
© 在 设 定 登 录用 户 前 ， 需 要 首先 用 命令 行 创建 一 个 ， 将 上 节 所 创建 的 person 数据 库 授权 给 
seugrid 用 户 ， 并 使 seugrid 用 户 对 person 数据 库 具 备 管理 员 权限 ， 如 图 11-45 所 示 。 然 后 切 
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换 至 【注册 】〗 选 项 卡 ， 进 行 连接 服务 器 的 用 户 名 和 密码 的 设 定 ， 将 刚才 创建 的 seugrid 用 户 
填 入 其 中 ， 如 图 11-46 所 示 。 


Properties of 179 


ZN 连接 “| 注册 Autostart | 数据 浏览 器 
服务 器 G) 
服务 器 G) 
iD 
连接 类 型 C) Direct v 
超时 加) 30  |Seconds 
EBO vin w) 
FHRO {y 


h grant option; 


图 11-45 将 seugrid 用 户 授权 为 外 部 主机 访问 用 户 


Properties of 179 


2p | 连接 | 注册 ”|Autostart | 数据 浏览 器 


注册 

RP [seugri d] 

EB 

数据 库 四 ) 口 
帮助 0 确定 取消 


图 11-46 MySQL-Front 设 定 登 录用 户 名 
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O 对 上 述 的 【连接 〗 和 【注册 】 选 项 卡 设 定 完毕 后 ， 单 击 【确定 】 按 钮 ， 弹 出 如 图 11-47 所 
示 的 对 话 框 ， 单 击 【 打 开 】 按 钮 即 可 连接 MySQL 数据 库 服务 器 。 


LEER 


[ 59... LI [ meo ) 
C pm] 关闭 


11-47 ”连接 设 定 的 数据 库 


Q 连接 成 功 后 ， 弹 出 如 图 11-48 所 示 窗 口 ， 左 边区 域 列 出 了 172.18.12.179 这 台 服 务 器 上 所 有 
的 登录 用 户 有 权限 访问 的 数据 库 ， 步 又 (3) 授 权 的 person 数据 库 也 在 其 内 ; 右边 区 域 可 以 显 
示 选 定数 据 库 表 的 各 种 信息 ， 通 过 右边 上 方 的 按钮 进行 选择 ， 如 图 11-48 的 标注 部 分 。 其 中 
【 对象 浏览 器 〗 显 示 表 的 字段 名 称 、 类 型 、 是 否 可 以 空 以 及 默认 值 等 属性 ,如 图 11-49 所 示 ; 
【数据 浏览 器 】〗 显 示 选 定 表 内 的 所 有 数据 ， 如 图 11-50 所 示 ; 【SQL 编辑 器 〗 提 供用 户 输 
入 SQL 语言 的 界面 ， 用 户 可 以 在 此 处 输入 SQL 对 选 定 的 表 进 行 操作 ， 效 果 在 shell 上 输入 
SQL 语句 一 样 。 
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11-48 连接 MySQL 服务 器 成 功 
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11-49 ”显示 数据 库 表 的 字段 信息 


-3x 
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11-50 ”显示 数据 库 表 的 数据 信息 


Q MySQL-Front 提供 了 为 数据 库 表 新 建 字段 和 索引 的 功能 ， 在 图 11-48 的 空白 处 右 击 ， 选 择 
【新 建 〗 一 【字段 】 命 令 就 弹出 如 图 11-51 所 示 的 对 话 框 ， 在 其 中 输入 字段 信息 ，【 位 置 】 
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记录 该 字段 位 于 现存 的 哪个 字段 之 后 ，【 名 称 】 为 字段 名 称 ，【 类 型 〗 为 字段 对 应 的 数据 
类 型 ，【 长 度 〗 为 字段 的 最 大 长 度 ， 图 示 的 选择 相当 于 SQL 语言 的 varchar(15)。 字 段 属 性 
设 定 完毕 后 ， 单 击 【 确 定 〗 按 钮 就 可 以 看 到 在 【对 象 浏览 器 】 列 表 中 出 现 了 刚才 添加 的 名 
称 为 email 的 字段 ， 如 图 11-52 标注 部 分 所 示 。 


8 Object) E NE Xr 
日 Im - persen infesatien. 


11-51 EX information 中 添加 字段 


人 ET 


11-52 email 字段 添加 成 功 


@@ MySQL-Front 还 提供 了 为 数据 库 表 添加 数据 的 功能 ， 在 图 11-49 所 示 的 数据 列表 上 右 击 选 
择 【 插 入 记录 】 命 令 , 弹出 如 图 11-53 所 示 的 编辑 数据 界面 ,可 以 图 形 化 的 输入 表 数 据 信息 。 

© MySQL-Front 还 提供 以 各 种 形式 输出 数据 库 表 内 容 ， 比 如 HTML. access 数据 库 、CVS 等 
格式 。 比 如 ， 我 们 要 以 HTML 格式 输出 information 表 的 内 容 ， 只 要 选中 information 表 ， 右 
击 选 择 【输出 】 一 【HTML 文件 〗 命 令 ,保存 information html 文件 ， 就 得 到 如 图 11-54 所 
示 的 以 HTML 格式 显示 数据 库 表 的 HTML 文件 。 
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11-53 ”在 表 information 中 添加 数据 


F information - Nicrosoft Internet Explorer 


文件 EE) REO FEV KEW IAV HHW [] 


Or- O- ABOA km @| 会 -如 a- aS 


3630) | 全 CWpoewments and Settings\Adninistrator AT information htl _ E> E ELM 
数据 库 (D): person 
表格 (T): information 


no name birthday cellphone. address email 
0081 YY f (1982-01-08 (025-6754313 INNU yy Gina. com 
0071 B0B m 1987-05-05 025-8379324 SEU NULL 
0061 Ann m 1987-09-09 010-8765354 Being ann(Ghotmail com 
0051 Song f 1970-11-11 025-8796543 SEU-NET song@gmal com 
PEJ BEZIT 


Æ 11-54 以 HTML 格式 输出 表 数据 


四 点 评 与 拓展 : MySQL-Front 软件 提供 了 图 形 化 管理 MySQL 数据 库 的 方式 ， 大 大 
简化 了 用 户 对 数据 库 的 操作 。 


11.4.2 f FH MySQL-Front 实现 数据 库 表 的 连接 操作 


Q 首先 添加 course 表 ， 选 中 person 数据 库 右 击 ， 在 弹出 的 快捷 菜单 中 选择 【新 建 〗 一 【表格 】 
命令 ,出现 如 图 11-55 所 示 的 【添加 表格 〗 对 话 框 , 输入 表 的 名 称 为 course; 然后 切换 至 【 字 
段 】 选 项 卡 ， 单 击 【 新 建 字段 】 按 钮 出 现 如 图 11-56 所 示 添 加 新 字段 的 对 话 框 ， 第 一 个 字段 
为 stmo， 类 型 为 varchar(7)， 即 最 多 为 7 个 字符 的 变 长 串 。 然 后 用 同样 的 方法 添加 第 二 个 字 
段 coursenamel、 第 三 个 字段 coursename2， 等 等 ， 这 些 coursename 记录 了 某 学 生 所 选课 的 
名 称 ， 可 以 有 多 个 。 
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Collation: 


SIE: 


图 11-55 添加 course d 


Properties of stno 


图 11-56 为 表 course 添加 字段 


© 创建 表 course 的 基本 字段 完毕 后 ， 我 们 为 表 couse 添加 数据 ， 添 加 数据 的 方法 在 上 节 中 介 
绍 过 ， 比 如 本 例 我 们 添加 了 四 个 数据 ， 如 图 11-57 所 示 . 图 11-58 显示 了 表 information 的 数 
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据 ， 通 过 比 对 这 两 个 表 的 数据 发 现 ， 其 中 的 学 号 为 0071 和 0081 的 数据 是 information 表 中 
存在 记录 的 学 生 ， 另 外 的 两 个 数据 在 information 表 中 无 对 应 记录 。 


@ 172.18.12.179 
a H infornation_schena 
日 


person 


由 图 course 
E E inforastion 
Sne: ~ 
@ 172.18.12.179 
E P infornstion_schema m 1987:0909 TOETSE 
B P person We YY 1 19820108 0056754313 
8 ED course m 1980505 0258379324 SEU 
E E information 1 19701111 0258796543 — SEUNET 
qudd 


11-58 3k information 的 数据 


© 接着 我 们 演示 一 个 简单 的 数据 库 表 之 间 的 连接 ， 所 谓 连 接 ， 就 是 查询 出 存放 在 多 个 表 中 的 
同一 个 实体 的 信息 。 例如 学 号 为 0081 的 学 生 在 information 表 中 存放 了 名 字 、 性 别 和 地 址 等 
基本 信息 ， 在 course 表 中 存放 了 该 学 生 的 选课 信息 ， 通 过 连接 操作 就 可 以 将 存储 在 
information 表 和 course 表 中 的 信息 一 起 显示 出 来 ， 以 共用 的 学 号 字段 为 连接 纽带 。 

单 击 【SQL 编辑 器 〗 按 钮 进入 SQL 语言 编辑 页 面 ， 输 入 下 面 的 SQL 语句 : 


select * from information, course 


where information.no-course.stno; 


这 个 SQL 语句 的 意思 是 ， 当 information 表 中 no 字段 与 course 表 中 的 stno 字段 相等 时 ， 就 
将 information 和 course 两 个 表 中 的 所 有 字段 都 选 出 ，SQL 语句 以 分 号 结束 。 

单 击 上 方 的 三 角 按钮 ， 即 运行 SQL 语句 的 按钮 ， 如 图 11-59 标注 部 分 所 示 。 如 果 所 写 入 的 
SQL 语句 有 错误 ，MySQL-Front 将 会 报错 ， 以 帮助 用 户 修改 ， 如 图 11-60 所 示 。 
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11-59 ”编辑 并 执行 连接 SQL 语句 


Q 执行 成 功 后 ,在 MySQL-Front 窗口 下 方 跳出 连接 操作 的 结果 ， 如 图 11-61 标注 部 分 所 示 ， 
我 们 可 以 看 到 这 里 列 出 了 学 号 为 0081 和 0071 的 数据 记录 ， 而 且 后 面 加 上 了 course 表 中 的 
课程 信息 内 容 。 
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|H 172 18 12 179 | 1 select * from information, course 
UE den Z ware infomation moscourse. stno; 
B P person a 

a E course 


图 图 
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SQL 执行 错误 # 1054， 从 数据 库 的 响应 - 


Unknown column infonation no’ in where clause 


11-60 执行 SQL 语句 出 错 


AĞ 对 委 训 览 器 D) 图 BEARD) | 二] SQL 编辑 器 E) | 
1 select * fron information, course 

2 where information.no*course.stno; 

3 

à 


f 1982-01-08 025-6754313 
m 19870505 025-8379324 


图 11-61 连接 的 执行 结果 


鳃 点 评 与 拓展 : ”本 节 仅 示例 性 地 利用 MySQL-Front 软件 实现 了 连接 操作 ， 它 通过 
批 处 理 SQL 语言 脚本 来 实现 ， 更 多 的 MySQL-Front 软件 的 用 法 ， 以 及 SQL 语言 脚本 的 用 
法 ， 有 待 读者 在 实践 中 发 据 。 
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本 章 主要 介绍 数据 库 管 理 系统 、SQL 语言 等 数据 库 方面 的 基础 知识 ， 然 后 介绍 流行 数 
据 库 服务 器 软件 MySQL 的 安装 、 配 置 ， 接 着 介绍 了 MySQL 管理 的 相关 知识 ， 包 括 如 何 设 
定 管理 员 密码 、 数 据 库 的 创建 和 删除 、 表 的 创建 和 删除 、 表 中 数据 的 插入 和 修改 ， 以 及 
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MySQL 数据 库 用 户 管理 的 相关 知识 等 。 最 后 介绍 如 何 利 用 MySQL-Front 软件 图 形 化 的 方式 
来 方便 地 管理 MySQL 服务 器 ， 包 括 MySQL-Front 软件 的 连接 数据 库 的 设置 ， 以 及 对 数据 
库 的 基本 操作 等 , 还 通过 一 个 简单 的 例子 演示 了 用 MySQL-Front 软件 和 SQL 语言 如 何 实现 
数据 库 表 的 连接 操作 ， 希 望 读者 能 够 通过 这 个 例子 举一反三 。 
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LDAP(Light Directory Access Protocol， 轻 量 级 目录 访问 协议 ) 技 术 是 比较 新 的 概念 ， 但 
它 发 展 迅速 ， 很 快 成 为 标准 网 络 体系 结构 中 不 可 或 缺 的 部 分 。 在 企业 范围 内 实现 LDAP, 可 
以 让 运行 在 几乎 所 有 计算 机 平台 上 的 所 有 应 用 程序 从 LDAP 目录 中 获取 信息 ， 以 简化 员工 
在 企业 内 部 查询 信息 的 步骤 .LDAP 目录 中 可 以 分 布 式 存储 各 种 类 型 的 数据 : 电子 邮件 地 址 、 
邮件 路 由 信息 、 人 力 资源 数据 、 公 用 密 匙 、 联 系 人 列表 ， 等 等 。 本 章 主要 介绍 目录 服务 和 
LDAP 的 基本 概念 ， 重 点 介绍 如 何 利 用 OpenLDAP 软件 架设 目录 服务 器 ， 涉 及 OpenLDAP 
软件 的 安装 、 配 置 和 启动 ， 以 及 如 何 使 用 LDAP Browser/Editor 软件 来 管理 LDAP 服务 器 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 内 容 : 

信 ”目录 服务 的 概念 
LDAP 的 基本 概念 和 工作 原理 
OpenLDAP 的 安装 、 配 置 和 启动 
如 何 使 用 LDAP Browser/Editor 软件 来 管理 LDAP 服务 器 
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12.1.1 目录 服务 简介 


随 着 互联 网 中 服务 、 资 源 、 计 算 机 的 急速 增长 ， 为 如 此 多 的 分 布 于 互联 网 中 的 实体 进 
行 命名 成 为 了 一 个 非常 基础 的 问题 。 目 录 服 务 正 是 方便 用 户 阅读 、 浏 览 以 及 搜索 的 专门 数 
据 库 ， 它 通过 存放 名 字 和 描述 性 的 属性 的 记录 为 互联 网 用 户 提供 命名 服务 、 目 录 服 务 和 发 
现 服务 。 

显而易见 ， 名 字 并 非 是 识别 互联 网 实体 的 惟一 途径 ， 描 述 性 的 属性 也 可 用 于 识别 实体 。 
比如 ， 一 个 用 户 可 能 会 问 :“ 电 话 号 码 为 025-83792241” 的 用 户 是 谁 ? ”又 比如 ， 用 户 需 要 
使 用 打印 机 服务 ， 他 只 要 知道 哪个 服务 能 够 很 好 地 满足 其 要 求 ， 但 不 关注 服务 由 谁 提供 ， 
那么 这 个 用 户 就 会 问 :“ 我 在 哪儿 可 以 打印 一 个 高 分 辩 率 的 彩色 图 像 ? ”这 些 实例 都 说 明 ， 
在 实际 的 环境 中 ， 用 户 可 能 会 以 描述 性 的 属性 作为 查询 值 来 获得 一 些 信息 。 因 此 ， 目 录 服 
务 的 设计 就 需要 满足 这 样 的 需求 。 而 且 ， 目 录 服 务 需 要 针对 大 量 的 查找 或 搜索 操作 进行 快 
速 的 响应 ， 它 们 具有 大 范围 复制 信息 的 功能 ， 以 便 提高 可 用 性 和 可 靠 性 ， 同 时 缩短 响应 时 
间 。 当 目录 信息 被 复制 时 ， 副 本 之 间 的 暂时 不 一 致 是 允许 的 ， 只 要 最 终 同 步 即 可 。 

有 许多 不 同方 式 可 以 提供 目录 服务 。 不 同 的 方法 允许 不 同类 型 的 信息 存储 在 目录 里 ， 
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响应 不 同 的 请 求 信息 如 何 被 访问 、 查 询 和 更 新 ， 如 何 避 免 非特 许 存 取 ， 等 等 。 一 些 目录 服 
务 是 局 部 的 ， 为 有 限 的 应 用 场景 提供 服务 ， 比 如 ， 单 机 上 的 手 控 服 务 ， 另 一 些 服务 是 全 局 
的 ， 为 非常 广泛 的 应 用 场景 提供 服务 ， 比 如 ， 整 个 mternet。 全 局 服务 通常 是 分 布 式 的 ， 也 
就 是 说 全 局 服务 所 保存 的 数据 扩展 到 许多 台 主 机 ， 所 有 这 些 主机 共同 协作 提供 目录 服务 。 
通常 , 全 局 服务 定义 了 一 个 统一 的 命名 空间 , 互联 网 域名 系统 (DNS 服务 器 ) 就 是 一 个 全 局 分 
布 式 目录 服务 的 例子 。 


12.1.2 X.500 简介 


X.500 是 用 于 目录 服务 的 标准 协议 ， 它 已 经 得 到 了 ITU 和 ISO 标准 组 织 的 官方 认可 ， 
称 X.500 是 一 个 访问 有 关 “ 现 实 世界 实体 ”信息 的 服务 。 

从 技术 上 来 说 ，LDAP Æ X.500 目录 服务 的 一 个 目录 访问 协议 ， 最 初 , LDAP 客户 端 访 
Ù X.500 目录 服务 的 网 关 ， 该 网 关 在 客户 端 和 网 关 之 间 运 行 LDAP, 在 网 关 和 X.500 服务 器 
之 间 运 行 X.500 的 目录 访问 协议 .DAP( 重 量 级 协议 )， 运 行 全 部 OSI 协议 组 需要 相当 大 的 计 
算 资 源 。 于 是 ， LDAP 设计 为 运行 在 TCP/IP 协议 上 ， 以 非常 低 的 开销 提供 DAP 的 大 部 分 功 
能 。 现 在 ，LDAP 更 普遍 地 在 X.500 服务 器 上 直接 执行 ， 尽 管 仍 要 通过 网 关 去 访问 X.500 
目录 服务 。 

独立 的 LDAP 进程 可 以 看 作 是 一 个 轻 量 级 X.500 目录 服务 器 。 也 就 是 说 ， 它 既 不 执行 
X.500 的 目录 访问 协议 DAP， 也 不 支持 完整 的 X.500 模型 。 


12.1.3 ”主要 目录 服务 产品 简介 


1. OpenLDAP 


OpenLDAP 是 一 款 出 色 的 开放 源 代 码 LDAP 服务 器 软件 ， 其 目标 是 提供 一 个 稳定 的 、 
商业 化 的 、 功 能 全 面 的 LDAP 软件 ， 包 括 LDAP 服务 器 和 一 些 开 发 工具 。 由 于 OpenLDAP 
是 开放 源 代码 的 , 因此 它 在 UNIX 和 Linux 平台 上 受到 广泛 的 欢迎 。 当 然 它 也 可 以 移植 到 其 
他 的 系统 平台 ， 甚 至 是 Windows 平台 上 ， 从 而 满足 用 户 的 不 同 需求 。OpenLDAP 2.x 版 本 支 
持 LDAPv3， 而 最 新 的 版 本 (2.2 版 ) 可 以 支持 LDAP v3 协议 的 绝 大 部 分 特性 ， 包 括 一 些 扩展 
功能 。OpenLDAP 不 但 功能 强大 而 且 安全 可 靠 ， 目 前 被 许多 大 型 的 邮件 系统 和 ISP 所 使 用 。 


2. Microsoft Active Directory( 活 动 目录 ) 


活动 目录 是 Windows 2000 和 Windows 2003 的 核心 组 件 ， 它 利用 目录 服务 功能 ， 将 整 
个 网 络 系统 有 机 地 组 织 起 来 。 目 前 活动 目录 成 了 Windows 2000 和 Windows 2003 网 络 系统 
和 核心， 它 存储 了 当前 网 络 环境 中 所 有 资源 的 信息 ， 包 括 基 本 个 人 账户 信息 和 各 种 系统 服 
务 。 另 外 ， 活 动 目录 本 身 与 系统 的 安全 服务 紧密 地 集成 在 一 起 ， 每 个 用 户 的 安全 信息 被 保 
存在 活动 目录 中 ， 而 用 户 对 系统 资源 的 访问 也 受 活动 目录 控制 。 而 且 操作 系统 通过 活动 目 
录 控 制 用 户 的 登录 ， 因 为 活动 目录 与 Kerberos 认证 协议 结合 起 来 ， 实 现 了 单 点 登录 (single 
sign-on) 特 性 。 
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Microsoft 的 活动 目录 是 一 个 全 面 的 目录 服务 管理 方案 ， 也 是 一 个 企业 级 的 目录 服务 ， 
具有 很 好 的 可 扩展 性 。 它 采用 了 Internet 的 标准 协议 ， 并 与 操作 系统 紧密 地 集成 在 一 起 ， 不 
仅 可 以 管理 基本 的 网 络 资源 ， 比 如 计算 机 对 象 、 用 户 账户 、 打 印 机 等 ， 还 充分 考虑 了 现代 
应 用 的 业务 需求 ， 为 这 些 应 用 提供 了 基本 的 管理 对 象 模型 ， 比 如 用 户 账户 对 象 具有 办 公 电 
话 、 手 机 、 呼 机 、 住 址 、 上 司 、 下 属 和 电子 邮件 等 属性 。 几 乎 所 有 的 应 用 都 可 以 直接 利 
系统 提供 的 目录 服务 功能 ， 而 且 活 动 目录 也 具有 很 好 的 扩展 能 力 ， 允 许 应 用 程序 定制 目录 
中 对 象 的 属性 或 者 添加 新 的 对 象 类 型 。 


3. NDS 


NDS(Novell Directory Services) 是 随 着 Netware 4 一 起 发 布 的 , 属于 比较 早 的 面向 企业 网 
络 的 目录 服务 产品 。 它 有 效 地 将 网 络 系统 的 各 种 资源 组 织 到 一 起 ， 也 将 各 种 应 用 软件 集成 
到 同一 个 资源 管理 平台 上 。NDS 可 以 支持 各 种 规模 的 网 络 环境 ， 当 然 也 支持 LDAP v3。 
于 NDS 是 从 系统 软件 中 剥离 出 来 的 ， 因 此 软件 的 可 靠 性 较 高 ， 也 支持 多 个 目录 服务 器 之 
SELIP 

到 了 Netware 5 的 时 候 , NDS 从 中 分 离 出 来 , 以 便 支 持 不 同 的 系统 平台 , 这 就 是 Novell 
eDirectory. Novell eDirectory 是 一 种 支持 LDAP, 基于 目录 的 身分 管理 系统 , 它 对 用 户 身份 、 
访问 特权 和 其 他 网 络 资源 实行 集中 管理 。 由 于 eDirectory 支持 动态 组 功能 ， 能够 持久 搜索 利 
实时 连续 备份 ， 因 此 大 大 降低 了 管理 费用 。eDirectory 卓越 的 安全 功能 包括 “Novell 国际 密 
码 基础 结构 ”、 通 过 安全 套 接 层 加 密 的 口令 、RSA 私 用 密 钥 加 密 、 安 全 性 鉴定 服务 、 智 能 卡 
和 X.509v3 证 书 。 管 理 员 授予 一 个 目录 的 访问 权限 ， 并 不 意味 着 授予 对 整个 网 络 的 访问 权 ， 
甚至 也 不 表明 可 以 访问 该 目录 中 的 全 部 信息 ， 从 而 可 以 确切 地 指定 哪些 人 可 以 访问 哪些 
信息 。 
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12.2 LDAP 简介 


12.2.1 LDAP 概念 


X.500 协议 虽然 功能 强大 ， 但 实现 起 来 非常 繁琐 ， 效 率 不 高 ， 往 往 在 许多 小 系统 中 无 法 
实现 。 为 了 降低 复杂 性 和 开发 成 本 ，IETF(Internet Engineering Task Force) 制 定 了 轻 量 级 目录 
访问 协议 LDAP)。 

轻 量 级 目录 访问 协议 (LDAP) 是 一 个 独立 于 厂家 和 平台 的 开放 网 络 协议 标准 ， 它 是 用 来 
访问 存储 在 信息 目录 中 的 信息 协议 , 更 为 确切 的 说 法 应 该 是 : 通过 使 用 LDAP, 可 以 在 信息 
目录 的 正确 位 置 读 取 数据 。 它 在 对 X.500 标准 进行 简化 的 基础 上 ， 基 于 TCP/IP 定义 了 一 个 
目录 服务 标准 ， 主 要 包括 以 下 几 个 部 分 。 

* ”LDAP 信息 模型 : 定义 了 目录 中 数据 的 类 型 ; 

* LDAP 命名 模型 : 定义 了 目录 的 组 织 方式 ; 

* LDAP 函数 模型 : 定义 了 如 何 访 问 和 更 新 目录 ; 
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* LDAP 安全 模型 : 定义 了 如 何 防止 未 经 授权 的 用 户 对 目录 信息 的 访问 和 修改 。 
在 LDAP 目录 中 信息 是 存储 在 一 个 树 型 结构 中 的 ， 一 般 称 为 DIT( 目 录 信息 树 )。DIT 
许多 记录 项 组 成 。 记 录 项 表示 LDAP 中 的 资源 信息 ， 每 个 记录 项 具有 惟一 的 标识 ， 并 包含 
零 个 或 者 多 个 属性 值 ， 表 示 资 源 的 属性 。 记 录 项 的 类 型 ， 称 为 对 象 类 ， 确 定 了 记录 项 和 属 
性 的 必 选 项 和 可 选项 。 就 像 SYBASE、ORA-CLE、INFORMIX 或 者 MICROSOFT 的 数据 库 
管理 系统 是 用 于 处 理 查询 和 更 新 关系 型 数据 库 那样 ,LDAP 服务 器 也 是 用 来 处 理 查询 和 更 新 
LDAP 目录 的 。 换 句 话说 ，LDAP 目录 也 是 一 种 类 型 数据 库 ， 而 不 是 关系 数据 库 。 

LDAP 主要 优化 了 数据 读 取 的 性 能 ， 适 合 于 更 新 频率 远 小 于 读 取 频 率 的 情况 。LDAP 和 
普通 数据 库 在 实现 上 有 差别 ， 在 性 能 上 也 有 所 不 同 。 它 的 主要 优点 包括 : 

* LDAP 是 跨 平台 的 协议 ， 可 以 在 任何 平台 的 计算 机 上 ， 用 LDAP 客户 端 软件 去 访 

问 LDAP 服务 器 ; 
* 对 LDAP 的 读 操作 的 完成 速度 比 普通 的 数据 库 访问 要 快 得 多 ，LDAP 专门 为 读 操 
作 进 行 了 优化 ， 适 合 于 需要 频繁 读 取 的 场合 ; 

* LDAP 的 服务 器 也 可 以 是 分 布 式 的 ， 用 户 访问 到 的 信息 可 以 是 本 地 的 LDAP 服务 
器 , 也 可 以 是 各 地 的 服务 器 。 LDAP 可 以 通过 内 部 机 制 很 容易 地 实现 各 地 服务 器 之 
间 内 容 的 同步 ; 

* LDAP 的 存储 是 按照 一 条 条 记录 项 进行 的 ， 各 条 记录 项 存储 的 属性 是 可 变 的 。 

完成 资源 的 LDAP 定义 和 表示 后 ， 就 需要 根据 资源 的 表示 方法 对 资源 信息 进行 有 效 的 
组 织 。 根 据 资源 分 类 的 特性 ， 使 用 层次 化 的 树 型 结构 对 资源 信息 进行 组 织 是 比较 合理 的 ， 
这 样 便于 系统 对 资源 信息 的 查找 、 添 加 等 操作 。 资 源 信息 的 组 织 需 要 遵循 : 

分 ”资源 的 标识 应 保证 这 个 资源 在 系统 中 的 惟一 性 ， 不 能 出 现 多 个 资源 标识 指向 同一 

个 资源 或 一 个 资源 标识 指向 多 个 资源 的 情况 ; 

分 ”资源 分 类 应 具有 多 个 层次 ， 同 时 树 型 组 织 结构 应 清楚 地 体现 不 同 模型 的 差异 ; 

分 ”资源 的 属性 可 以 元 余 ， 保 证 资源 的 完整 表示 。 

资源 目录 管理 系统 对 信息 资源 采用 了 多 层次 的 树 型 组 织 方式 。 在 树 型 结构 中 ， 每 个 结 
点 代表 一 个 对 象 类 ， 每 个 对 象 类 中 都 定义 了 其 父 结 点 和 子 结 点 。 每 个 对 象 类 都 可 以 对 应 多 
个 记录 项 。 同 时 ， 这 种 树 型 的 结构 便于 资源 信息 的 查找 ， 可 提供 高 效 的 资源 定位 方式 。 

在 LDAP 协议 中 存在 两 种 通信 模式 : 客户 -服务 器 通信 和 服务 器 一 服务 器 通信 。 基 本 的 
客户 -服务 器 通信 允许 用 户 程序 连接 LDAP 服务 器 进行 创建 、 检 索 、 修 改 、 删 除数 据 等 操作 。 
服务 器 -服务 器 通信 定义 了 多 个 服务 器 如 何 共享 一 个 LDAP 目录 信息 树 (DIT)， 以 及 如 何 更 
新 和 复制 服务 器 之 间 的 信息 。 


12.2.2 LDAP 基本 原理 


LDAP 是 一 个 访问 目录 服务 的 轻 量 级 协议 ， 特 别 是 基于 X.500 的 目录 服务 。 它 运行 在 
TCP/IP 上 或 面向 传输 服务 的 其 他 连接 。LDAP 相关 的 规定 在 RFC2251 和 RFC3377 等 文档 
里 有 详细 说 明 。 

LDAP 信息 模型 是 基于 记录 项 的 , 一 个 记录 项 是 一 个 属性 的 集合 , 它 有 一 个 全 局 惟一 的 
标识 名 (DN)。 每 个 条 目 属性 都 对 应 于 类 型 (type) 和 值 (value) 的 组 合 ， 类 型 通常 是 助 记 符 ， 例 
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如 cn 是 公共 名 称 ，mail 是 E-mail 地 址 。 值 的 语法 取决 于 属性 类 型 ， 例 如 ，cn 属性 可 以 包含 
值 Babs Jensen; mail 属性 可 以 包含 值 babs@example.com; jpegPhoto 属性 可 以 包含 JPEG 格 
式 的 图 片 ， 等 等 。LDAP 通过 使 个 称 为 objectClass 属性 的 值 来 决定 记录 项 必须 遵守 的 
模式 规则 ， 而 且 LDAP 可 以 控制 一 个 记录 项 中 哪些 属性 是 必 选 的 ， 哪 些 属性 是 可 选 的 。 

那么 信息 是 如 何 组 织 的 呢 ? 简单 地 说 ，LDAP 的 记录 项 是 以 一 个 层次 树 结构 组 织 起 来 
的 ， 下 面 分 别 介绍 两 种 命名 方式 : 传统 命名 法 和 互联 网 域 命名 法 。 

1. 传统 命名 法 

传统 的 层次 树 结构 反映 了 地 理 或 组 织 的 分 界 。 树 项 是 代表 国家 的 记录 项 ， 接 下 来 是 代 
表 州 和 省 的 记录 项 ， 再 接 下 来 可 以 是 代表 城市 的 记录 项 ， 最 后 可 以 是 组 织 单位 、 人 、 打 印 
机 、 文 件 或 你 所 能 想到 的 任何 事物 的 记录 项 。 图 12-1 给 出 了 一 个 LDAP 目录 树 的 例子 ， 它 
使 用 了 传统 命名 法 。 


C-USA C-China 


st-JiangSu 


ct-Nanjing 


o-Company andy Q-Company bob 


12-1 传统 命名 法 例子 


2. 互联 网 域 命名 法 


第 7 章 “DNS 服务 器 的 配置 与 架设 ”中 介绍 了 DNS 域名 的 组 织 方式 ， 这 种 组 织 方式 也 
是 层次 式 的 ，LDAP 借鉴 DNS 域名 的 组 织 方式 ， 提 出 了 互联 网 域名 命名 法 ， 而 且 该 方法 变 
得 越 来 越 流行 。 图 12-2 给 出 了 一 个 使 用 域名 命名 法 的 LDAP 目录 树 例 子 。 一 个 记录 项 通过 
标识 名 (DN) 被 访问 ， 在 获得 记录 项 自身 的 相对 标识 名 之 后 ， 将 其 和 它 祖先 记录 项 名 连接 ， 
就 构成 了 标识 名 (DN)。 例 如 ， 该 例子 里 有 一 个 uid=Jeshope 的 RDN， 将 其 与 它 所 有 祖先 连 
接 后 ， 形 成 的 完整 的 表示 名 就 为 : Jeshope.people.example.com， 这 个 过 程 正如 我 们 第 7 章 所 
讲述 的 反 向 解析 DNS 域名 一 样 。 
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dc=net dc=DE 


uid=Jeshope 


12-2 互联 网 域 命名 法 例子 


12.2.3 LDAP 的 应 用 领域 


目录 并 不 是 数据 库 ， 但 它们 有 助 于 网 络 基础 结构 的 管理 。 就 像 一 本 好 书 需要 详细 的 目 
录 来 帮助 读者 查找 所 需 的 页 面 一 样 ， 网 络 通 过 目录 服务 也 可 使 用 户 对 它 的 任 一 部 分 进行 快 
速 的 访问 。 EE, LDAP 具有 查询 效率 高 、 树 状 的 信息 管理 模式 、 分 布 式 部 署 框架 以 及 灵活 
细腻 的 访问 控制 等 特点 ， 这 使 得 LDAP 广泛 应 用 于 基础 性 、 关 键 性 信息 的 管理 。LDAP 的 
应 用 主要 涉及 以 下 几 种 类 型 。 

今 “ 信 息 安全 类 : 数字 证 书 管理 、 授 权 管 理 、 单 点 登录 。 
今 “ 科 学 计算 类 : DCE( 分 布 式 计算 环境 )，UDDI( 统 一 描述 、 发 现 及 集成 协议 )。 
分 ”网络 资源 管理 类 : MAIL 系统 、DNS 系统 、 网 络 用 户 管理 、 电 话 号 码 短 。 
今 “ 电 子 政务 资源 管理 类 : 内 网 组 织 信息 服务 、 电 子 政务 目录 体系 ， 人 口 基础 库 、 法 
人 基础 库 。 
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应 用 实例 导航 一 一 为 A 公司 安装 LDAP 服务 器 


KAREM 
A 公司 需要 架设 目录 服务 器 , 选用 OpenLDAP 软件 ; 试 为 A 公司 安装 Berkerley 数据 库 
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和 OpenLDAP 软件 ， 并 通过 加 载 .ldif 文件 初始 化 OpenLDAP 中 的 目录 服务 。 
KAREM 


(1) Berkerley 数据 库 的 安装 。 
(2) OpenLDAP 的 安装 。 
(3) OpenLDAP 的 初始 化 。 


OpenLDAP 是 架设 LDAP 服务 器 的 常用 软件 , 本 章 就 是 利用 它 来 架设 LDAP 服务 器 的 。 
首先 涉及 的 就 是 OpenLDAP 的 安装 问题 ， 本 节 介绍 如 何 安装 、 配 置 和 启动 OpenLDAP. 


12.3.4 Berkerley 数据 库 的 安装 


在 安装 OpenLDAP 之 前 , 首先 要 安装 Berkerley 数据 库 (BDB), 因为 Berkerley 数据 库 是 
OpenLDAP 的 前 驱 软件 , 即 它 们 之 间 存 在 依赖 关系 .OpenLDAP 后 台数 据 库 用 的 是 BDB4.2。 
Q 本 节 演 示 的 Berkerley 数据 库 的 版 本 是 4.2.52， 通 过 下 载 或 者 从 本 书 附带 光盘 都 可 以 获得 

Berkerley 数据 库 的 安装 包 ， 名 字 为 db-4.2.52.NC.tar.gz， 我 们 使 用 tar 命令 将 安装 包 解 压 到 

/usr/local 目录 下 ， 如 图 12-3 所 示 。 


tar -zxvf db-4.2.52.NC.tar.gz 


图 12-3 解压 Berkerley 数据 库 安装 包 


© 解压 后 ， 在 /usrlocal 下 生成 db-4.2.52.NC 目录 .进入 db-4.2.52.NC/build_UNIX 目录 ， 我 们 
使 用 下 面 命令 可 以 看 到 有 个 名 字 为 “.” 的 隐藏 目录 


ls -a 


ls 是 列 出 目录 内 容 命令 ，-a 参数 列 出 目录 下 的 所 有 文件 及 目录 。Linux 文件 系统 中 ， 以 “.” 
开头 的 文件 或 文件 夹 都 为 隐藏 文件 ， 如 第 8 章 所 讲 到 的 配置 环境 变量 的 .bash_profile 文件 ， 
所 以 如 果 不 带 -a 参数 将 无 法 显示 这 些 隐藏 文件 或 文件 夹 

配置 文件 configure 就 在 此 目录 的 dist 子 目 录 下 ， 因 此 输入 下 面 命令 进行 配置 ， 两 条 命令 的 
运行 结果 如 图 12-4 所 示 。 


../dist/configure 
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请 注意 ， 上 面 命令 两 个 “.” 之 间 没 有 空格 ， 而 且 这 里 的 configure 不 需要 带 -prefix 参数 ， 
Berkerley 数据 库 默认 安装 在 /usr/local 目录 下 。 


jecified... no 


图 12-4 配置 Berkerley 数据 库 安 装 包 


Q 配置 完毕 后 ， 接 下 来 就 是 编译 Berkerley 数据 库 安装 
输入 下 面 命令 ， 如 图 12-5 所 示 。 


make 


图 12-5 编译 Berkerley 数据 库 安装 包 
O 编译 无 误 后 ， 就 可 以 ZRET, E build UNIX 目录 下 输入 下 面 命令 ， 
如 图 12-6 所 示 


make install 


多 点 评 与 拓展 : 安装 Berkerley 数据 库 的 特殊 之 处 在 于 ， 配 置 、 编 
要 在 build UNIX 目录 下 输入 。 


E 
3 
» 
T 
3 
他 
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ling DB libr 


ify th 
g during linking and d 
add LIBDIR 


TH' environ 


rpath -Ul,LIBDIR' linker flag 


ion about 
1d(1) and ld. 


2/bin/db upgrac 
/bin/db verif 


图 12-6 ”安装 Berkerley 数据 库 安装 包 


12.3.2 OpenLDAP 的 安装 


OpenLDAP 的 安装 除了 需要 Berkerley 数据 库 的 支持 外 , 还 
比如 C 语言 编译 器 gcc 等 。 不 过 


装 完 


需要 很 多 第 三 方 软件 的 支持 ， 
- 般 情况 下 ， Ae gamin Linux 安装 时 就 已 经 安 
忆 毕 了 。 本 节 假 设 在 其 他 软件 都 安装 完成 的 前 提 下 ， 直 接 开 始 安装 OpenLDAP. 
OpenLDAP 是 免费 软件 , 可 以 到 官 elem 下 载 , 如 图 12-7 所 示 。 
这 个 网 站 不 仅 提供 了 OpenLDAP 软件 免费 下 载 ， 还 提供 了 OpenLDAP 的 安装 、 管 理 的 相关 
文档 ， 以 及 常见 问题 的 解答 (FAQ)。 值 得 推荐 的 是 http://www.openldap.org/faq/data/cache 
/53.html， 如 图 12-8 所 示 ， 这 里 记录 了 使 用 OpenLDAP 时 可 能 碰 到 的 错误 类 型 及 其 原因 ， 
当 用户 在 安装 或 使 用 OpenLDAP 遇 到 错误 时 ， 在 此 网 页 查询 错误 类 型 ， 就 能 找到 相应 的 原 
因 ， 这 对 初学 者 十 分 有 用 。 
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12-8 使 用 OpenLDAP 时 的 错误 类 型 


Q 将 下 载 的 OpenLDAP 安装 包 复 制 到 /ust/local 目录 , 本 节 以 名 字 为 openldap-2.3.38.tgz 的 安装 
包 为 例 进行 介绍 ， 使 用 下 面 命令 解压 缩 该 安装 包 ， 如 图 12-9 所 示 。 解 压 成 功 后 生成 
/usr/local/openldap-2.3.38 目录 。 


tar -zxvf openldap-2.3.38.tgz 
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图 12-9 解压 缩 OpenLDAP 安装 包 

[2] OpenLDAP 在 编译 过 程 中 需要 Berkeley DB 42 的 头 文件 和 库 ， 具 体 指 的 是 目录 /usr/local 
/BerkeleyDB4.2/include 和 /usr/local/BerkeleyDB4.2/lib 中 的 所 有 文件 。 在 确定 BerkeleyDB4.2 
已 经 安装 的 情况 下 , 使 用 下 面 命令 将 BerkeleyDB4.2 的 头 文件 和 库 复制 到 Linux 系统 的 头 文 
件 和 库 文件 目录 下 ， 如 图 12-10 所 示 。 
cp -f /usr/local/BerkeleyDB4.2/include/* /usr/include 
cp -f /usr/local/BerkeleyDB4.2/lib/* /usr/lib 
/usr/include 和 /usr/lib 两 个 目录 是 系统 路 径 里 设 定 寻 找 头 文件 和 库 的 目录 , 将 BerkeleyDB 的 
头 文件 和 库 文件 复制 到 其 中 , 编译 OpenLDAP 时 就 能 自动 找到 。 输入 以 上 两 个 命令 后 , shell 
提示 是 否 覆盖 一 些 同 名 文件 ， 输 入 yes 即 可 


'usr/include 


5| 


12-10 ”复制 Berkeley 库 文件 


© 接着 ， 进 入 OpenLDAP 的 安装 目录 ， 输 入 下 面 命令 进行 安装 配置 ， 如 图 12-11 所 示 
./configure --prefix-/usr/local/openldap --without-cyrus-sasl 
配置 参数 的 说 明 如 下 : 
--prefix=/usr/local/openldap 指定 了 OpenLDAP 的 安装 目录 为 /usr/local/openldap; 
--without-cyrus-sasl 表示 OpenLDAP 在 客户 端 和 服务 器 端 不 需要 提供 Cyrus 的 SASL(simple 


authentication and security]) 服 务 。 


build 


ps 


12-11 配置 OpenLDAP 安装 包 
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Q ZR OpenLDAP 安装 包 的 安装 配置 后 ， 使 用 下 面 命令 建立 软件 与 库 文件 的 所 有 依 
如 图 12-12 所 示 。 


make depend 


图 12-12 ”建立 OpenLDAP 安装 包 的 库 文件 依赖 关系 
Q 编译 OpenLDAP 安装 包 和 编译 其 他 安装 包 一 样 ， 输 入 下 面 命令 即 可 ， 如 图 12-13 所 示 。 


make 


include' 


nclude' 


iblutil' 


图 12-13 ”编译 OpenLDAP 安装 包 


Q 编译 完 OpenLDAP 安装 包 后 , 就 可 以 输入 下 面 命令 测试 . 这 些 测试 包括 启动 和 停止 服务 器 ， 
和 修改 数据 ， 最 后 是 服务 器 复制 ， 如 图 12-14 所 示 。 这 些 测 试 将 近 有 45 项 ， 需 
要 很 长 时 间 ， 


make test 


nake[2]: 
Initiati 


ting all LDAP tests for bé 


test000-rootdse ... 
running h 


图 12-14 ”测试 OpenLDAP 安装 包 
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Q 最 后 一 步 就 是 安装 OpenLDAP 了 ， 输 入 下 面 命令 进行 安装 ， 如 图 12-15 所 示 。 


make install 


iblutil' 


图 12-15 安装 OpenLDAP 安装 包 


的 点 评 与 拓展 : ZR OpenLDAP 软件 与 安装 其 他 软件 有 所 不 同 , 增加 了 建立 库 依 赖 
关系 和 测试 安装 包 两 步 。 另 外 ， 第 (2) 步 与 BerkeleyDB 4.2 建立 联系 很 重要 ， 这 也 是 之 所 以 
要 先 安装 BerkeleyDB 4.2 的 原因 。 


12.3.3 OpenLDAP 的 启动 与 测试 


至 此 ，OpenLDAP 安装 完毕 ， 接 下 来 讲述 如 何 启动 OpenLDAP， 并 且 对 其 作 简单 的 功 
能 测试 。 
o 首先 需要 配置 OpenLDAP 的 域 及 管理 用 户 , 它 的 配置 文件 是 /usr/local/openldap/etc/openladap 
/slapd.conf, 加 入 如 图 12-16 中 画 线 的 三 行 语句 :第 一 句 指定 了 OpenLDAP 的 根 域 (OpenLDAP 
的 域 采用 了 这 样 的 域名 组 合 方式 ， 比 如 说 配置 文件 初始 的 suffix "dc=my-domain,dc=com"， 
说 明 域名 是 my-domain.com, com 是 其 根 域 ，my-domain 是 根 域 之 下 的 域名 )， 在 图 12-16 
中 ， 我 们 改 为 "suffix "dc=icce", 这 仅仅 指定 了 根 域 为 iccc; 第 二 句 指定 了 根 域 的 管理 用 户 
admin， 即 LDAP 服务 器 的 超级 用 户 ; 第 三 名 与 第 二 句 呼 设 定 了 根 域 的 管理 用 户 admin 
的 密码 。 以 上 三 个 参数 是 OpenLDAP 的 基本 参数 ， 设 定好 后 方 能 执行 以 后 的 测试 操作 。 
Q 完成 OpenLDAP 的 配置 后 ， 使 用 下 面 命令 启动 LDAP 服务 器 ， 如 图 12-17 所 示 ， 并 且 可 以 
^i LDAP 附带 的 查询 命令 测试 LDAP 是 否 成 功 启动 ， 兹 将 两 条 命令 分 列 于 下 : 


/usr/local/openldap/libexec/slapd 


/usr/local/openldap/ldapsearch -x -b " -s base '(objectclass-*)' 


namingContexts 
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如 图 12-17 所 示 ， 输 入 查询 命令 后 ， 可 以 看 到 查 到 了 dc=icee 的 记录 ， 记 录 条 数 为 1 条 ， 说 
3H LDAP 服务 器 已 经 成 功 启动 。 也 可 以 输入 下 面 命令 查看 slapd 进程 是 否 启动 ， 图 12-18 显 
部 分 就 是 LDAP 服务 器 的 守护 进程 ， 进 程 号 为 $865。 


ps -aux | grep slapd 


看 系统 进程 命令 ，-aux 是 需要 列 出 的 进程 参数 ，| grep slapd 表示 只 列 出 进程 启动 程 


昌 号 


序 为 slapd 的 那些 进程 号 


图 12-17 启动 OpenLDAP 


图 12-18 ”查看 LDAP 进程 
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© 可 以 使 用 下 面 命令 安全 关闭 LDAP 服务 器 ， 当 然 也 可 以 通过 使 用 ps 命令 查 出 slapd 的 进程 


号 ， 然 后 使 用 Kill 命令 关闭 该 进程 的 方法 关闭 LDAP 服务 器 。 


kill -INT "cat /usr/local/var/slapd.pid' 
kill «pid» 


An 12-18 所 示 的 LDAP 服务 器 的 进程 号 为 5865。 应 注意 画 线 下 面 一 行 是 刚刚 运行 的 ps 命 
令 的 进程 ， 不 是 LDAP 服务 器 的 进程 ， 因 此 使 用 下 面 命 令 就 可 以 关闭 LDAP 服务 器 。 


kill 5865 


© 当 需 要 写 入 LDAP 服务 器 数据 时 ， 我 们 通常 不 通过 ladapadd 命令 逐条 输入 ， 而 是 将 需要 写 
入 的 信息 存 入 后 绥 名 为 .ldif 的 文件 中 ,通过 读 取 整 个 文件 完成 LDAP 数据 库 的 输入 。 ld 站 代 
X Y LDAP 数据 交换 格式 ， 也 可 以 将 ldif 文件 看 作 供 人 阅读 的 LDAP 信息 ， 它 是 提供 和 传 
送 LDAP 数据 的 标准 文件 。 
我 们 创建 一 个 简单 的 名 字 为 firstldif 的 文件 来 讲述 ldif 文 件 的 格式 及 LDAP 服务 器 是 如 何 读 
W ldi 文件 的 。 使 用 六 命令 打开 firstldif 文件 如 图 12-19 所 示 ， 输 入 图 示 文 本 内 容 ，ldif X 
件 由 如 下 格式 的 文本 组 成 : 


dn: dc=<MY-DOMAIN>, dc=<COM> 
objectclass: dcObject 
objectclass: organization 
0: «MY ORGANIZATION» 

dc: «MY-DOMAIN» 


dn: cn-Manager, dc-«MY- DOMAIN», dc-«COM» 

objectclass: organizationalRole 

cn: Manager 

这 里 当然 需要 将 <MY-DOMAIN> 和 en-Manager 替换 成 步骤 (1)slapd.conf 配置 文件 中 已 填 
好 的 内 容 。 需 要 特别 注意 的 是 ， 文 件 中 每 一 行 字符 结束 后 ， 不 能 留 有 空格 字符 ， 当 在 
Windows 下 编辑 该 文本 再 拷 入 Linux. 时 常会 出 现 这 种 错误 , 这样 将 导致 LDAP 服务 器 无 法 
识别 该 1d 站 文件 。 


zi first.ldif 


ionalRole 


图 12-19 编辑 first.ldif 文件 
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Q 编辑 完 fistldif 文 件 后 ,将 其 拷 入 openldap 的 安装 目录 , 就 可 以 使 用 下 面 dapadd 命令 加 载 


该 文件 ， 如 图 12-20 所 示 ，shell 提示 输入 密码 ， 只 要 输入 前 面 slapd.conf 配置 文件 中 所 设 定 
的 密码 即 可 。 


/usr/local/openldap/bin/ldapadd -x -b "cn-admin,dc-iccc" -W -f first.ldif 
如 果 firstldif 文 件 书写 无 误 ，shell 提示 添加 了 两 条 记录 ， 如 图 12-20 所 示 ; 如 果 fustldif X 


件 有 误 ， 系 统 将 提示 读 到 的 第 一 条 错误 ， 具 体 错 误 原 因 可 以 查询 FAQ 网 页 : 
http://www.openldap.org/faq/data/cache/53.html 


nldap]# bin/ldapadd dnin,dc 


-adnin, dc: 


aldap]# 


图 12-20 ”使 用 ldapadd 加 载 frst.ldif 
Q 加 载 ldif 文 件 成 功 后 ， 可 以 输入 下 面 命令 查询 添加 后 的 LDAP 记录 


/usr/local/openldap/ldapsearch -x -b ' (objectclass-*)'"' 
查询 命令 的 意思 是 ， 查 询 LDAP 中 所 有 域名 关 
= 共有 两 项 记 录 


图 12-21 显示 了 查询 结果 ， 


图 12-21 查询 LDAP 记录 
【7) OpenLDAP 除了 前 面 提 及 的 ldapadd 和 ldapsearch 4 


， 还 提供 了 其 他 LDAP 命令 行 工具 ， 
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在 此 一 一 列 出 ， 而 不 再 逐一 演示 。 

ldapdelete: 删除 LDAP 服务 器 中 存在 的 记录 。 

ldapmodify: 添加 、 修 改 和 删除 LDAP 服务 器 中 存在 的 记录 。 

ldapmodrdn: 修改 DN 的 最 左 端 部 分 相对 与 众 不 同 的 LDAP 服务 器 中 的 记录 。 


鳃 点 评 与 拓展 : 我 们 在 LDAP 概述 部 分 讲 过 LDAP 层 状 的 目录 结构 ,在 本 节 的 安装 
过 程 中 ， 我 们 看 到 安装 起 始 是 创建 了 LDAP 层 状 目录 结构 的 根 域 ， 用 户 则 在 根 域 下 面 扩展 
所 需要 的 子 域 。 


LDAP 的 层 状 目录 结构 决定 了 其 查询 效率 高 的 特点 , 因此 ,LDAP 被 广泛 应 用 于 海量 数 
据 的 分 布 式 检索 领域 。 在 LDAP 安装 并 添加 入 数据 后 ， 下 一 步 的 问题 就 是 LDAP 编程 ， 即 
如 何 通过 其 他 应 用 程序 调用 LDAP。 复 杂 的 编程 都 源 自 5 个 主要 LDAP 操作 : 连接 、 绑 定 、 
执行 LDAP 活动 、 解 除 绑 定 和 断 开 连接 。 
于 本 书 论述 范围 及 篇 幅 所 限 ， 对 LDAP 的 论述 就 到 安装 、 载 入 LDAP 数据 为 止 
于 如 何 开发 LDAP 应 用 程序 , 请 读者 参考 Wrox 的 Implementing LDAP 一 书 , 相信 此 书 一 
能 开启 您 在 LDAP 方面 的 千里 之 行 ! 


124 架设 LDAP 服务 器 及 管理 平台 


应 用 实例 导航 一 一 LDAP 服务 器 的 管理 


KAREM 


A 公司 在 安装 好 LDAP 服务 器 后 ， 需 要 在 根 域 icce 下 为 各 个 分 公司 建立 独立 子 目录 ， 
用 来 存储 员工 的 信息 。 为 了 方便 地 管理 LDAP 服务 器 ，A 公司 希望 使 用 图 形 化 管理 平台 来 
方便 地 对 LDAP 服务 器 的 记录 进行 添加 、 修 改 和 删除 。 

LDAP 目录 的 层次 结构 要 求 为 : 根 域 的 名 字 为 iccc， 下 面 建 立 两 个 子 域 ， 名 字 分 别 为 
company andy 和 company bob, 另外 建立 一 个 根 域 icce 下 的 组 织 , 名 字 为 company_Jonghu， 
并 在 该 组 织 内 示例 性 地 为 一 个 名 字 为 Jeshope 的 员工 建立 记录 。 


KAREM 


(1) 掌握 LDAP Browser/Editor 的 安装 步 又。 
(2) 掌握 LDAP Browser/Editor 的 使 用 方法 。 
(3) 学 会 从 浏览 器 查看 LDAP 服务 器 。 


尽管 使 用 shell 命令 载 入 .ldif 的 方法 也 可 以 执行 添加 、 修 改 和 删除 LDAP 服务 器 记录 的 
相关 操作 ， 但 是 这 种 方法 对 用 户 要 求 较 高 ， 不 直观 。 于 是 ， 用 户 就 希望 以 图 形 化 界面 的 方 
法 来 高 效 快捷 地 管理 LDAP 服务 器 ， 这 需要 借助 相关 LDAP 浏览 编辑 软件 来 实现 。LDAP 
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Browser/Editor 就 是 实现 类 似 功能 的 合适 软件 , 它 提供 用 户 界 面 友 好 的 LDAP 目录 编辑 工具 ， 
由 正 C(SwingSet) 和 JNDI 类 库 写成 ， 可 以 连接 第 二 版 和 第 三 版 LDAP 服务 器 ， 并 可 以 免费 
下 载 使 用 。 

本 节 将 利用 LDAP Browser/Editor 软件 来 实现 上 面 应 用 实例 的 要 求 , 分 两 节 讲述 : 12.4.1 
节 讲 述 LDAP Browser/Editor 软件 的 下 载 和 安装 ; 12.4.2 节 讲 述 如 何 使 用 LDAP 
Browser/Editor 来 实现 对 LDAP 服务 器 的 相关 操作 。 


12.4.1 LDAP Browser/Editor 的 下 载 和 安装 


本 节 讲 述 LDAP Browser/Editor 软件 的 下 载 和 安装 ， 步 又 如 下 。 
(1) 网 站 http://www-UNIX.mcs.anl.gov/~gawor/ldap/download.html 提 供 了 LDAP Browser/Editor 
软件 的 免费 下 载 ， 如 图 12-22 所 示 。 本 书 附带 光盘 也 提供 了 这 一 软件 。 


m 
Qu- O nid D»3we2$5 783 


E ETE TIERS 


LDAP Browser/Editor 


图 12-22 LDAP Browser/Editor 软件 的 下 载 


[2] 下 载 的 安装 包 名 字 为 Browser282b2.tar.tar，LDAP Browser/Editor 同时 适用 于 Windows 和 
Linux 系统 ， 本 书 详细 讲述 如 何在 Linux 系统 下 使 用 它 。 将 安装 包 复 制 到 /usr/local 目录 ， 利 
用 tar 命 令 解压 缩 ， 形成 /usr/localldapbrowser 目录 ,进入 该 目录 可 以 看 到 如 图 12-23 所 示 的 
文件 ,其 中 lbe.bat 是 Windows 下 的 脚本 文件 ,如 果 在 Windows 下 运行 LDAP Browser/Editor, 
就 需要 执行 该 脚本 ， 该 脚本 读 取 了 系统 的 JAVA HOME 环境 变量 ， 系 统 必须 首先 正确 设 定 
JAVA HOME 后 ， 该 脚本 方 能 运行 成 功 。 在 Linux 系统 下 运行 LDAP Browser/Editor 时 ， 需 
要 以 X-Window 图 形 化 方式 登录 ，lbe.sh 读 取 系统 的 JAVA. HOME 环境 变量 ， 如 图 12-24 
所 示 ， 同 样 要 在 JAVA HOME 环境 变量 正确 设 定 后 ， 方 可 运行 lbe.sh 入 口 程序 。 
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HOME" ] ; then 


) -jar lbe.jar $AR 


图 12-24 Ibe.sh 脚本 文件 内 容 


12.4. LDAP Browser/Editor 的 使 用 


本 节 介绍 如 何 使 用 LDAP Browser/Editor 软件 连接 LDAP 服务 器 , 并 对 LDAP. 目录 进行 

人 作 ， 有 具体 步骤 如 下 。 

Q 启动 LDAP BrowserEditor 后 ， 弹 出 如 图 12-25 所 示 的 Connect 窗口 ， 用 于 设置 连接 的 相关 
属性 .首先 对 Quick Connect 一 Connection 选项 卡 进行 设 定 ,需要 在 Host 文 本 框 中 输入 LDAP 
服务 器 的 IP 地 址 ， 本 例 中 是 172.18.12.179; Port 文本 框 中 输入 LDAP 服务 器 的 端口 ， 其 
默认 端口 是 389; Version 文本 框 中 输入 LDAP 的 版 本 ,默认 值 是 3。 然后 , Æt Fetch DNs 
按钮 ， 在 Base DN 文本 框 中 就 出 现 根 域 的 名 称 : dc=iccc， 标 识 了 所 要 登录 的 LDAP 服务 器 
的 根 域 ; 接着 ， 取 消 选中 SSL 和 Anonymous bind 两 个 复 选 框 ， 并 选中 append base DN 复 选 
框 ， 在 User DN 文本 框 中 输入 slapd.conf 配置 文件 中 所 设置 的 管理 用 户 名 字 ， 本 例 中 是 
cn=admin 。 

(2) 其 次 ， 需 要 对 Quick Connect— Options 选项 卡 进行 设 定 ， 设 定 界 面 如 图 12-26 所 示 。 在 
Referrals 选项 选择 Manage 复 选 框 ， 因 为 下 面 要 对 LDAP 服务 器 记录 进行 修改 。 其 他 选项 可 
以 根据 用 户 喜 好 选择 。 
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口 LDAP BrowsenEditor v2.8.2 
File Edit View LDIF Help 


[ Session List | Quick Connect | 
Connection 
Host Info 


Host |172.18.12.179 | Port 589 | Version: s[- 


Options 


Base DN: |dc=iccc |» 


Fetch DNS Essl Anonymous bind 


User Info 
User DN: [cn=admin| T ] 


Password: | 
Connect 


区 


append base DN 


LDAP Browser\Editor by Jarek Gawor 


图 12-25 LDAP Browser/Editor 的 Connection 窗口 


口 LDAP Browsen\Editor v2.8.2 =kaj 
File Edit View LDIF Help 
m 
Session List | Quick Connect | 
Connection | Options | 


LDAP Settings 
Referrals: [v] Manage Handle 


Deref. Aliases: Never [v] Always Searching | |Finding 


Timeout 0 Size limit 0 


Other Settings 


Sort Tree: [v] No sorting Ascending C] Descending k 
Canes 


LDAP Browser \Editor by Jarek Gawor N 


12-26 LDAP Browser/Editor 的 Options 配置 


Q 对 Quick Connect 选项 卡 设 定 完毕 后 ， 单 击 Connect 按钮 连接 LDAP 服务 器 ， 弹 出 Enter 
Password 对 话 框 如 图 12-27 所 示 ， 要 求 输入 密码 ， 正 确 输入 后 ， 即 可 登录 。 和 登录 成 功 后 ， 
出 现 如 图 12-28 所 示 的 LDAP 服务 器 的 初始 界面 , 显示 的 记录 正 是 从 前 面 frstldif 文件 中 载 
入 的 内 容 。 
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i LDAP BrowsenEditor 2.82 erre) 
File Edit View LDIF Help 


LII NEIESEESERERTPITI 


il You are connecting to: 
1dap://172.18.12.179 
As: cn- admin 


Enter password: **** 


Connect anonymously Cancel | 


Disconnected. IN 


图 12-27 连接 LDAP 服务 器 输入 密码 


LDAPIBTOW Se Edo Ve a 1722 7 ece] 
File Edit View LDIF Help 

图 [中 [Am ie |a] v » &[a] 

4[Anribute 


* |objectClass 
en 


organizationalRole 


Æ 12-28 LDAP 服务 器 的 初始 界面 
Q 接 下 来 ,我 们 演示 如 何 创建 实例 场景 所 要 求 的 名 字 为 company_Jonghu 的 组 织 , 选 中 de=icee， 
选择 Edit~Add Entry 一 organization 命令 ， 如 图 12-29 所 示 ， 弹 出 如 图 12-30 所 示 的 填写 组 
织 基本 信息 界面 。 用 户 可 以 根据 具体 需要 填写 ， 本 例 中 仅 代表 性 地 填写 了 几 项 ， 填 完 之 后 ， 
单 击 Apply 按钮 使 之 生效 。 另 外 ， 其 中 的 userPassword 为 设置 密码 选项 ， 如 果 直 接 输入 密 
5), 则 为 明文 显示 ; 如 果 单 击 set 按钮 输入 , 则 为 密 文 显示 。 单 击 Verify 按钮 可 以 验证 密码 。 
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Q 添加 组 织 成 功 后 ， 可 以 看 到 根 域 dc=icecc 下 出 现 了 刚才 的 记录 : o-company Jonghu, i 


Edit Entry... 
Delete Entry... 


Rename Entry... 


organizationalPerson 


Copy Entry... 
Move Entry... 


organizationalUnit. 


Create Template... 


File Edit 


图 12-29 创建 组 织 


dn: 

objectclass: 

objectclass: 
businessCategory: 
postOfficebox: 
StreetAddress: 
postalCode: 

searchGuide: 
facsimileTelephoneNumber: 
userPassword: 
preferredDeliveryMethod: 
telephoneNumber: 
physicalDeliveryOfficeName: 
registeredAddress: 
destinationindicator: 

st 

x121Address: 

t 

postalAddress: 

SeeAlso: 

description: 

telexNumber: 
internationaliSDNNumber: 
teletexTerminalldentifier: 


0 company. Jonghu, dc «icc 
[op 

organization 

lang5u Nanjing 


210096 


Verity | set | Saveas | inser from 


图 12-30 填写 创建 组 织 基本 信息 界面 


图 12-31 所 示 ， 标 注 部 分 是 我 们 上 一 步 所 填写 的 基本 信息 。 
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LDAP BrOWSer|Editor vz:8:2 — 


e Edit View LDIF Help 
$9^amxo^g.sSst 
dc=iccc Attribute Value 
D cnz admin ipostalCode 210096 
n d d businessCategory JiangSu Nanjing 
Ice company.ency objectClass top 
D dc-company bob objectClass organization 
D dc=subject o company. Jonghu 
D pecempanyJongnu] 
k 
Ready. No entries returned. uy 


图 12-31 加 入 company_Jonghu 后 的 结果 显示 


Q 接着 我 们 在 company_Jonghu 的 组 织 中 创建 实例 场景 所 要 求 的 名 字 为 Jeshope 的 员工 。 选中 
o-company Jonghu 记录 ， 选 择 Edit Add Entry 一 person 命令 ， 如 图 12-32 所 示 。 


LDAP BrOWSen|EdITOT y2 82 [103p 7/172:18.12.17 9/ QC— 1 CC] 
View LDIF Help 


Add Attribute... Mim mala] 


Delete Attribute... 


4 [Atribute Value 
Edit Attribute... T |oostalcoce rer 
organization Jiangsu Nanjing 
Edit Entry... Ctrl-E top 
organization 


Delete Entry... jarek È 
Rename Entry... organizationalPerson 
Copy Entry... organizationalUnit. 
Move Entry... 
Create Template... 


company. Jonghu 


图 12-32 创建 个 人 信息 


Q 随后 出 现 的 图 12-33 显示 了 填写 个 人 基本 信息 的 界面 ， 将 dn 文本 框 中 的 cn 参数 改 为 
Jeshope， 最 后 一 项 sn 文本 框 中 的 内 容 要 与 cn 一 致 ， 这 里 也 必须 为 Jeshope。 
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m LDAP Browsen|Editor v2.8.2 - [Idap://172.18.12.179/dc-iccc] 
File Edit View LDIF Help 


[R|e|g^ mx ea^ mma 


CTESIE NEW person Entry. 
File Edit 


dn: |cn-Jeshope, o- company. Jonghu, dc-iccc 
objectdass: (top 
objectdass [person i 
telephoneNumber [024-985787 i 


userPassword: 


Insert from 


description: |Professor Chris 
SeeAlso: 


Jeshopel 


Apply || Cancel 
I 


图 12-33 填写 创建 个 人 的 基本 信息 


Q 单 击 Apply 按钮 ， 可 以 看 到 组 织 o=company_Jonghu 的 记录 下 ， 出 现 了 cn=Jeshope 的 记录 ， 
如 图 12-34 所 示 ， 右 边 子 窗口 为 上 一 步 所 填写 的 基本 信息 。 


LDAP Browsen Editor v2.8.2 — [104p /172-18-12.-179/ dC-1CCcC] 
File Edit View LDIF Help 

(Bee mx/8^ mm ala] 

dc=iccc 4| Attribute. 


D) en - admin É neNumb 


telephoneNumber 
description Professor Chris 
D dcs company. andy 
D dc» company. bob. 


objectClass top 
objectClass person 
D dc=subject 
$ E o- company. Jonghu 


sn Jeshope 
- C n=jesho 
RE cu 


cn Jeshope 


Search... 
Sort Tree » 
Refresh 
Edit » 


| Ready. [u 


图 12-34 Jeshope 个 人 信息 显示 


O 至 此 ， 已 经 介绍 了 如 何在 服务 器 端 架 设 LDAP 服务 器 。 为 了 能 方便 地 管理 和 架设 LDAP 服 
务 器 ， 我 们 借助 LDAP Browser/Editor 软件 以 图 形 化 的 方式 配置 LDAP 服务 器 。 为 使 LDAP 
服务 器 得 到 更 广泛 的 应 用 ， 其 数据 必须 可 以 从 网 络 上 访问 到 ， 即 可 以 通过 Web 浏览 器 查看 
LDAP 数据 的 记录 ,为 此 ，IETF( 因 特 网 工程 任务 组 ) 制 定 了 LDAP 的 URL 标准 , 该 URL 标 
准 与 常规 的 HTTP URL 相似 。RFC2255 中 规定 了 LDAP URL 的 语法 ， 如 下 所 示 : 
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ldap://«hostname»/«base»?«attrs»?«scope»?«filter» 


其 中 参数 解释 如 下 。 

ldap//: 指定 Web 浏览 器 所 访问 的 协议 类 型 ; 
hostname: 指定 LDAP 服务 器 的 主机 名 或 IP 地 址 ; 
base: 指定 搜索 参数 ; 
atts: 指定 属性 列表 ， 用 逗号 分 开 ; 

scope: 指定 搜索 范围 (sub、one 或 base); 

fille: 指定 搜索 过 滤器 。 

比如 ， 我 们 需要 搜索 名 字 为 Jeshope 的 记录 ， 输 入 ldap://172.18.12.179/ecn=Jeshope， 
o 7company Jonghu,dc-iccc 就 可 以 访问 。Microsoft 公司 的 Internet Explorer 以 地 址 簿 格式 显 
示 搜 索 结果 , 如 图 12-35 所 示 。Netscape Communicator 浏览 器 能 够 以 网 页 的 形式 显示 LDAP 
数据 。 


J about:blank - Hic: 


vpra m” a 


Je: pe 属性 
E: 名 “| 住宅 “业务 “| 个 人 其它 jetertine| 数字 标识 | 
OG) 


[rm 


12-35 iis) LDAP 服务 器 


加 点 评 与 拓展 :在 架设 完 一 个 简单 的 示例 性 LDAP 服务 器 后 ， 相 信 读 者 已 经 对 安 
XS R LDAP 服务 器 的 步骤 有 所 了 解 。 对 于 复杂 一 些 的 LDAP 服务 器 的 架设 ， 基 本 的 步 
又 与 本 例 差 不 多 ， 只 要 稍 加 修改 和 扩展 即 可 。 


+213 


m Linux 服务 器 架设 与 管理 四 


125 本 章 小 结 


本 章 介绍 了 目录 服务 的 基本 概念 , 以 及 轻 量 目录 访问 协议 (LDAP) 的 层次 式 存储 树 原理 。 


主要 介绍 了 如 何 利 用 OpenLDAP 软件 架设 LDAP 服务 器 , 其 中 包括 Berkerley 数据 库 的 安装 、 
OpenLDAP 的 安装 、 如 何 载 入 ldif 数据 文件 以 及 LDAP 的 基本 命令 等 内 容 。 最 后 通过 一 个 
实例 讲述 了 如 何 利 用 LDAP Browser/Editor 软件 图 形 化 的 管理 用 OpenLDAP 软件 所 架设 的 


LDAP 服务 器 ， 具 体内 容 包 括 LDAP Browser/Editor 软件 的 安装 和 配置 、 如 何 使 
Browser/Editor 软件 连接 LDAP 服务 器 ， 并 构建 层次 式 目录 树 。 


.274 。 


LDAP 


在 大 多 数 局 域 网 内 ， 都 是 Linux、Windows XP. Windows Server. UNIX 等 多 操作 系统 
并 存 的 情形 ， 如 何 实现 多 操作 系统 之 间 的 资源 共享 、 网 络 互联 成 为 了 架设 局 域 网 需要 考虑 
的 问题 之 一 。 

架设 Samba 服务 器 就 是 实现 多 系统 间 互 联 、 共 享 的 一 个 很 好 的 解决 方案 , 它 使 Windows 
客户 端 能 通过 “网 上 邻居 ”所 提供 的 工作 组 功能 访问 Linux 服务 器 上 的 资源 ， 也 使 Linux 客 
户 端 能 通过 服务 管理 块 协 议 方便 地 访问 Windows 服务 器 的 资源 。 本 章 将 介绍 Samba 服务 的 
概念 和 原理 、Samba 服务 器 端的 配置 和 启动 以 及 Windows 系统 和 Linux 系统 Samba 客户 端 
的 配置 方法 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 内 容 : 

* Samba 服务 的 概念 和 意义 

+ Samba 服务 器 端的 配置 和 启动 

* Samba 客户 端的 配置 和 测试 


13.1 Samba 服务 概述 


13.1.1 Samba 简介 


在 介绍 Samba 软件 之 前 ， 先 来 介绍 一 下 SMB(Server Message Block， 服 务 信 息 块 ) 协 议 。 
SMB 协议 是 局 域 网 上 共享 文件 夹 /打印 机 的 一 种 协议 。 该 协议 可 以 用 在 TCP/IP 之 上 ， 也 可 
以 用 在 其 他 网 络 协议 之 上 。 客 户 端 程序 借助 SMB 协议 可 以 在 各 种 网 络 环境 下 读 写 服务 器 上 
的 文件 ， 对 服务 器 程序 提出 请 求 ， 还 可 以 访问 远程 服务 器 端的 文件 或 打印 机 资源 等 。SMB 
可 以 用 于 包括 Linux 的 多 种 平台 。 

Linux 使 用 Samba 程序 来 实现 SMB 协议 。 安 装 Samba 后 ,Linux 系统 就 变 成 了 一 台 SMB 
服务 器 , 而 Windows 用 户 也 能 够 使 用 Linux 系统 下 的 共享 文件 和 打印 机 等 资源 。Linux 用 户 
同样 也 能 够 利用 SMB 服务 器 来 访问 Windows 下 的 共享 文件 和 打印 机 等 资源 。 

Samba 属于 GPL(GNU public license) 软 件 ， 任 何人 都 可 以 免费 使 用 , 用 户 可 以 从 Samba 
公司 的 官方 网 站 上 下 载 。Samba 的 主要 功能 有 : 

分 ”可 以 在 Windows 网 络 中 解析 NetBIOS 名 字 。 网 络 上 各 主机 都 要 定期 向 网 上 广播 各 

自 的 身份 信息 ， 一 方面 是 为 了 利用 网 上 资源 ， 另 一 方面 也 是 为 了 让 别人 使 用 自己 
的 资源 。 负 责 收集 这 些 信 息 并 提供 检索 的 服务 器 称 为 浏览 服务 器 。 而 Samba 就 可 
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以 充当 这 样 一 种 浏览 服务 器 的 角色 ， 并 且 在 跨 网 关 的 时 候 还 可 以 充当 WINS 服 
务 器 。 
信 ET Windows 风格 的 文件 和 打印 机 共享 .Windows 95 以 上 的 Windows 操作 系统 
都 可 以 利用 Samba 访问 Linux 等 其 他 操作 系统 下 的 共享 资源 ， 而 外 表 风 格 上 则 与 
访问 Windows 下 共享 资源 的 方法 没什么 区 别 。 
今 “ 提 供 了 一 个 命令 行 工具 ， 从 而 可 以 有 限制 地 支持 Windows 的 某 些 管理 功能 。 
4 SMB 客户 功能 。Samba 提供 的 smbclient 程序 可 以 让 用 户 在 Linux 上 以 类 似 FTP 
的 方式 访问 Windows 的 一 些 共享 资源 。 


13.1.2 Samba 服务 工作 原理 


Samba 服务 让 SMB 和 NetBIOS 协议 运行 在 TCP/IP 协议 上 ， 利 用 NetBEUI 协议 使 
Windows 用 户 可 以 在 “网 上 邻居 ”中 看 到 Linux 系统 中 的 资源 ， 同 时 也 让 Linux 客户 端 可 以 
访问 Samba 服务 器 上 的 资源 。 图 13-1 描述 了 Samba 服务 的 工作 流程 ， 具 体 步骤 如 下 。 

Samba 客户 端 首先 发 送 一 个 协商 请 求 数据 包 给 Samba 服务 器 端 ， 列 出 它 所 支持 的 SMB 
协议 。 服 务 器 收 到 请 求 后 作出 响应 ， 根 据 客户 端 所 支持 的 协议 版 本 选择 所 希望 使 用 的 协议 
版 本 。 

协议 版 本 确定 后 ， 客 户 端 发 送 一 个 建立 会 话 请 求 给 服务 器 ， 服 务 器 作出 响应 ， 同 意 或 

完成 协商 及 认证 后 ， 客 户 端 会 发 送 一 个 请 求 数据 包 给 服务 器 ， 其 中 包含 了 它 欲 访问 的 


网 络 资源 名 称 。 服 务 器 收 到 请 求 后， 就 会 发 送 一 个 响应 信息 给 客户 端 ， 表示 接受 或 拒绝 此 
次 连接 。 建 立 连接 后 ，SMB 客户 端 就 可 以 使 用 open SMB 打开 一 个 文件 ， 使 用 read SMB iX: 


取 文 件 ， 使 用 write SMB 写 入 文件 ， 使 用 close SMB 关闭 文件 。 


1.Samba 客 户 端 发 送 协 商 请 求 数据 包 


2.Samba 服 务 器 作出 响应 


3.Samba 客 户 端 发 送 建立 会 话 请 求 


Samba 客 户 端 Samba 服 务 器 端 


4.Samba 服 务 器 同意 建立 会 话 


5.Samba 客 户 端 请 求 数据 包 


6.Samba 服 务 器 响应 数据 包 


13-1 Samba 服务 的 工作 流程 
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13.2 Samba 服务 器 端的 配置 


应 用 实例 导航 A 公司 架设 Samba 服务 器 


※ 场 景 呈 现 


A 公司 有 一 台 Linux 服务 器 ， 地 址 为 172.18.12.179; 大 部 分 用 户 使 用 的 是 Windows XP 
的 PC fl. IP 范围 在 172.18.12.* 内 。 现 在 需要 利用 Samba 服务 将 Linux 服务 器 上 的 
/home/sharing 目录 开放 给 所 有 主机 (包括 Linux, Windows XP) 共 享 ， 要 求 Samba 服务 的 用 户 
是 tian， 并 开放 tian 的 根 目录 ; 但 是 ， 要 求 /home/sharing 开放 可 写 权限 ，tian 根 目录 仅 开放 
可 读 权限 。 

另外 ， 要 求 Windows XP 上 的 用 户 winsamba， 具 有 访问 Linux 服务 器 /home/sharing 目 
录 的 权限 。 


(1) Samba 服务 器 端的 主 配 置 。 

(2) Samba 服务 用 户 的 设 定 。 

(3) Samba 服务 与 Windows 用 户 的 映射 。 
(4) Samba 服务 的 启动 。 


本 节 介 绍 Samba 服务 器 端的 配置 方法 ， 重点 介绍 Samba 服务 主 配置 文件 
letc/samba/smb.conf 的 意义 和 设 定 方法 ; 然后 介绍 如 何 设 定 Samba 服务 器 的 用 户 ， 以 及 如 何 
与 Windows 用 户 建立 映射 关系 ; 最 后 介绍 Samba 服务 的 启动 。 


13.2.1 Samba 服务 器 端 设 定 


Samba 服务 的 主 配置 文件 为 /etc/samba/smb.conf， 包 括 了 该 Samba 服务 器 的 全 局 参数 、 
信任 主机 和 网 域 、 共 享 目 录 、 安 全 设置 等 内 容 。/etc/samba/smb.conf 中 有 两 种 注释 符号 : 分 
号 “;” 和 井 号 “#” 以 这 两 种 符号 开头 的 行 是 注释 行 ， 即 其 内 容 被 忽略 而 不 会 生效 。 该 配 
置 文件 以 “ 设 定 项 = 设 定 值 ”的 格式 来 表示 。 下 面 介绍 /etc/samba/smb.conf 的 意义 和 设 定 方法 。 
首先 ,输入 下 面 命 令 确 认 Samba 服 务 是 否 安装 ,如 图 13-2 所 示 , 可 以 看 到 Linux 系统 的 Samba 

版 本 为 3.0.21， 图 13-2 中 标注 的 组 件 即 为 Samba 服务 器 端的 组 件 。 


rpm -qa | grep samba 


ITI” 
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图 13-2 检查 Samba 是 否 安装 


© 打开 /etc/samba/smb.conf X fF, 首先 进行 全 局 
数 有 关 的 设 定 项 ， 对 所 有 的 共享 目录 都 生效 。 找到 smb.conf 文件 中 的 [global] ? 
的 以 下 部 分 都 为 全 局 设 定 部 分 。 第 一 处 是 设 定 工作 组 名 ， 如 图 13-3 第 一 处 标注 所 示 ， 
工作 组 名 不 是 随意 设 的 ， 必 须要 与 Windows 下 的 工作 组 名 一 样 。 那么 怎么 知道 Windows 的 
工作 组 名 呢 ? 我 们 可 以 通过 以 下 方法 获得 : 在 桌面 上 右 击 【 我 的 电脑 〗 图 标 ， 在 弹出 的 快 
捷 菜 单 中 选择 【属性 】 命 令 ， 然 后 在 【系统 属性 】〗 对 话 框 中 切换 到 【计算 机 名 】 选 项 卡 ， 
可 以 看 到 计算 机 名 窗口 中 有 一 行 显示 了 本 机 所 属 的 工作 组 ， 如 图 13-4 所 示 ， 本 例 的 工作 组 
名 为 MSHOME。 于 是 ， 将 workgroup 设 为 MSHOME 


这 些 


图 13-3 FARE 
在 workgroup 下 面 ， 可 以 看 到 server string 设 定 项 ， 这 是 设 定 Samba 服务 器 的 名 称 ， 将 它 设 
Jj MSHOME Samba Server， 如 图 13-3 第 二 处 标注 所 示 。 

第 三 处 是 设 定 信任 主机 ， 即 允许 访问 所 架设 的 Samba 服务 器 的 主机 人 P 或 网 段 ， 本 例 对 局 域 
网 172.18.12.* 内 的 主机 开放 ， 如 图 13-3 第 三 处 标注 所 示 。 这 里 可 以 设 定 多 个 信任 网 域 ， 比 
如 我 们 还 要 对 192.168.10.* 的 子 网 开放 ， 那 么 只 需 作 如 下 设 
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hosts allow-172.18.12. , 192.168.10. 


注意 ， 不 完全 下 后面 的 “.” 分 隔 符 不 能 缺少 ， 不 同 于 网 域 P 间 用 去 号 隔 开 。 

如 果 需 要 设置 访问 Samba 服务 器 的 guest 用 户 ， 可 以 在 如 图 13-3 第 四 处 标注 部 分 设 定 ， 默 
认为 不 设置 。 

在 全 局 设 定 部 分 ， 还 需要 设置 Samba 用 户 的 密码 文件 所 在 位 置 。 找 到 encrypt passwords 这 
一 行 ， 默 认 是 注释 行 ， 将 注释 符 取消 ， 表 示 登 录 Samba 服务 器 需要 验证 密码 ， 并 且 以 加 密 
的 方式 发 送 密码 到 Samba 服务 器 端 ; 然后 将 下 一 行 的 smb passwd file 注释 符 也 取消 ， 表 示 
Samba 服务 器 的 密码 文件 为 /etc/samba/smbpasswd， 如 图 13-5 所 示 。 这 个 文件 是 smbpasswd 
命令 为 Samba 用 户 设 定 密码 时 用 来 存放 密码 的 ， 详 细 的 smbpasswd 命令 将 在 13.2.2 节 中 
讲述 。 


常规 “| 计算 机 名 | 硬件 | 高 级 ‖ 系统 还 原 | 自动 更 新 | 远程 
EL Windows 使 用 以 下 信息 在 网 络 中 标识 这 台 计 算 机 。 


计算 机 描述 @) | 
WP: “Kitchen Computer" IÈ "Mary s 
Computer”. 
完整 的 计算 机 名 称 seu-06556c4aba4， 
作 组 MSHONE 


要 使 用 网 络 标识 向 导 去 加 入 域 并 外 娃 本 地 用 户 帐 
Pes "HÀ I. 


要 重新 命名 此 计算 机 或 加 入 域 ， 单 击 “ 更 改 ”。 


图 13-5 设 定 密码 文件 
e 如 果 需 要 利用 Samba 服务 共享 打印 机 ， 在 全 局 设 定 部 分 找到 printcap name 和 load printers 
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两 行 ， 将 注释 符 去 掉 ， 第 一 行 表示 加 载 打印 机 配置 文件 的 路 径 ， 第 二 行 表示 Samba 服务 启 
动 时 就 自动 加 载 所 有 打印 机 列表 ， 如 图 13-6 所 示 。 


图 13-6 ”共享 打印 机 设置 


O 全 局 设 定 完毕 后 ， 选 择 [homes] 标 签 ， 进行 Samba 用 户 根 目录 的 权限 设 定 ， 这 里 有 三 个 设 定 
项 ,如 图 13-7 所 示 .。 第 一 项 , “comment” RRT, 没有 实际 用 处 。 第 二 项 , "browseable-yes 
或 no”， 表 示 是 否 允 许 用 户 浏览 整个 home 目录 ， 如 果 “browseable=yes” 则 Samba 用 户 可 
以 浏览 T 有 Linux 系统 用 户 的 根 目录 ， 因 此 安全 起 见 ， 一 般 将 browseable 设 为 no。 第 三 项 ， 
“writable=yes 或 no”， 表 示 是 否 允 许 对 Samba 用 户 T 录 进 行 写 操作 ， 场 景 中 要 求 不 允 

许 ， 因 此 设 为 no。 


Share Definitions --- 


图 13-7 根 目录 设置 


O 最 后 设 定 共享 目录 部 分 ， 选择 [public] 标 签 ， 默认 是 以 “;” 注 释 ， 去 掉 注 释 符号 ， 共 有 六 行 
设 定 项 ， 如 图 13-8 所 示 。 第 一 项 ，comment 是 解释 没有 实际 用 处 。 第 ，path 表示 
所 要 共享 的 目录 ， 场 景 中 要 求 为 /home/sharing 目录 。 “public=yes” 表 示 开 放 上 面 
path 中 指定 的 目录 。 第 四 项 和 第 五 项 相关 联 ， 用 于 设 定 读 写 权限 ， 第 四 项 表 
的 ， 场 景 中 要 求 /home/sharing 目录 为 可 写 ， 那 么 设 “read only=yes”; 第 五 项 表示 不 是 所 有 
用 户 都 有 可 写 权 限 的 情况 下 有 可 写 权限 的 用 户 的 列表 ， 由 于 场景 中 要 求 该 目录 对 任何 用 户 
都 可 写 ， 所 以 我 们 将 该 行 注释 符号 去 掉 。 第 六 项 ，“writable=yes 或 ao” 表示 是 否 多 许 登 录 
用 户 对 该 共享 目录 拥有 可 写 权限 ， 按 照 场 景 要 求 ， 将 writable 设 为 yes 
当然 ， 我 们 还 需要 创建 /home/sharing 目录 ， 使 用 下 面 命令 创建 ， 如 图 13-9 所 示 。 


Bu 
是 只 读 


mkdir /home/sharing 


图 13-8 ”开放 共享 目录 
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图 13-9 创建 共享 目录 
O 全 局 设 定 完毕 后 ， 使 用 testparm 命令 对 smb.conf 进行 语法 测试 ， 检 查 是 否 存在 语法 错误 ， 
输入 testparm 命令 ， 如 图 13-10 所 示 ， 提 示 按 Enter 键 显 示 smb.conf 中 所 设 定 的 信息 。 按 
Enter 键 后 ， 屏 幕 上 显示 了 全 局 设 定 、 打 印 机 设 定 、 根 目录 设 定 及 共享 目录 设 定 的 信息 ， 如 
图 13-11 所 示 。 


a dump 


图 13-10 Iit smb.conf 


E 13-11 smb.conf 设 定 结果 


ED RES HARÉ: smb.conf 除 了 [homes]、[public] 等 目录 权限 设 定 外 ， 还 提供 了 临时 目 
录 、 私 有 目录 等 更 灵活 的 设 定 方案 ， 从 而 使 Samba 服务 器 可 以 更 细 粒 度 地 控制 对 外 共享 的 
目录 及 每 个 目录 的 权限 。 


13.22 Samba 服务 器 端 用 户 设 定 


但 是 系统 用 户 登 录 系统 时 的 密码 保存 在 
卖 取 /etc/passwd 文件 中 的 密码 ， 所 以 需要 另外 建 


Samba 服务 使 用 Linux 系统 用 户 
/etc/passwd 文件 中 。 由 于 Samba 服务 无 
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文件 保存 Samba 用 户 的 密码 。Samba 服务 所 带 的 smbpasswd 命令 就 是 用 于 

这 样 一 个 密码 文件 的 , 对 于 每 一 个 需要 登录 Samba 服务 器 的 系统 用 户 , 都 要 使 用 smbpasswd 

命令 为 其 建立 一 个 密码 文件 。 

o 在 Samba 服务 安装 之 初 ， 列 出 /etc/samba 目录 ， 有 三 个 文件 ， 当 然 包 括 smb.conf 主 设 定 文 
件 在 内 ， 如 图 13-12 所 示 。 


^ 


图 13-12 /etc/samba 目录 内 容 


录 , 假设 tian 用 户 已 经 存在 (如 果 不 存 
为 tian 用 户 添加 Samba 服务 器 的 密 


© 场景 中 要 求 Samba 服务 器 使 用 Linux 系统 用 户 tian 登 
在 ， 读 者 可 使 用 adduser 命令 添加 )， 我 们 使 用 下 面 命 
码 ， 如 图 13-13 所 示 。 


smbpasswd -a tian 


ally 
arning 0 


图 13-13 为 tian 用 户 添加 密码 


输入 命令 后 ， 两 次 提示 输入 密码 ， 接 着 ， 如 果 是 第 一 次 执行 smbpasswd 命令 就 会 自动 创建 
letc/samba/smbpasswd 文件 ， 并 将 tian 用 户 的 Samba 密码 以 加 密 的 方式 写 入 所 创建 的 
smbpasswd 文件 ， 最 后 提示 创建 tian 用 户 成 功 

执行 完 smbpasswd 命令 后 ,我 们 再 列 出 /etc/samba 目录 中 的 所 有 文件 时 ,发 现 多 了 密码 文件 
smbpasswd， 如 图 13-14 所 示 。 


图 13-14 生成 /etc/samba/smbpasswd 文件 


e 场景 还 要 求 Windows XP 上 的 用 户 winsamba 具有 访问 Linux 服务 器 /home/sharing 目录 的 权 
限 ， 这 就 需要 将 Windows 上 所 创建 的 系统 用 户 与 Linux 的 系统 用 户 建立 映射 关系 。 打 开 
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/etc/samba/smb.conf 在 全 局 设 定 部 分 找到 usemame map 这 一 行 , 默认 是 注释 行 , 将 注 
释 符号 去 掉 ， 设 定 值 不 变 ， 如 图 13-15 所 示 。 这 个 设 定 项 表示 Samba 服务 器 读 取 
/etc/samba/smbusers 个 文件 中 的 内 容 作为 用 户 名 间 的 映射 关系 ， 所 以 只 要 通过 设 定 
/etc/samba/smbusers 来 建立 Windows 用 户 与 Linux 用 户 的 映射 关系 即 可 。 


13-15 设 定 用 户 映射 文件 
打开 /etc/samba/smbusers 文件 ， 将 需要 映射 的 用 户 添加 到 该 文件 中 ， 


这 个 文件 的 格式 为 : 
“Linux 系统 用 户 = 映 射 到 的 Windows 用 户 ”。 添 加 下 面 语句 ， 


如 图 13-16 所 示 


tian = winsamba 


此 语句 表示 Windows 系统 所 创建 的 winsamba 用 户 与 


与 Linux 系统 的 tian 用 户 具 有 一 样 的 权限 ， 
即 具有 访问 Linux 服务 器 /home/sharing 目录 的 权限 


图 13-16 ”建立 Linux 用 户 与 Windows 用 户 的 映射 关系 


dip in conf 文件 中 关于 encrypt passwords 的 设 定 么 ”将 encrypt passwords 设 
为 yes 时 ， 就 采用 了 


p 密 方式 将 用 户 密码 传送 到 Samba 端 ， 那 么 Windows 客户 端 如 何 知道 
要 以 加 密 传 


yd ie 传输 呢 ? 需要 Samba 专门 为 Windows 客户 端 提供 注册 表 文 
件 来 实现 。Samba 在 /usr/share/doc/samba-3.0.21b/registry 目录 下 存放 了 提供 给 各 种 不 同 版 本 
的 Windows 客户 端的 注册 表 文 件 , 如 图 13-17 所 示 , 其 中 标注 的 那个 文件 
XP 的 ， 只 要 将 这 些 注册 表 文 件 复制 到 相应 的 Windows 客户 端 ， 再 运 


是 提供 给 Windows 
行 就 可 以 了 


图 13-17 ”提供 给 Windows 的 注册 表 文件 
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的 点 评 与 拓展 : Samba 服务 的 设 定 是 由 主 设 定 文件 /etc/samba/smb.conf 进行 控制 的 ， 
故 以 上 所 有 的 设 定 都 是 围绕 主 设 定 文件 展开 的 。 


13.2.3 Samba 服务 的 启动 


Samba 服务 器 端 配置 完毕 后 ， 即 可 启动 Samba 服务 。 

Q 使 用 下 面 命令 可 以 启动 Samba 服务 ， 如 图 13-18 所 示 ， 在 13.1 节 “Samba 服务 概述 ”中 知 
道 Samba 是 由 NetBIOS 和 SMB 两 个 协议 同时 支持 的 , 因此 Samba 服务 也 有 两 个 , 即 NMB 
和 SMB， 从 图 中 看 到 ， 两 个 服务 都 成 功 启动 。 关 闭 、 重 启 smb 服务 ， 查 看 smb 服务 状态 等 
命令 格式 亦 列 于 下 方 。 
/etc/init.d/smb start 


/etc/init.d/smb {restart |reload|condrestart |status} 


图 13-18 启动 Samba 服务 


© 每 次 更 改 /etc/samba/smb.conf 文件 后 , 都 需要 重启 Samba 服务 使 设置 生效 ， 使 用 下 面 命令 重 
新 启动 Samba 服务 ， 如 图 13-19 所 示 。 


/etc/init.d/smb restart 


13-19 重启 Samba 服务 


13.3 Samba 客户 端的 配置 


应 用 实例 导航 一 一 Samba 客户 端的 配置 和 测试 


XREN 
A 公司 对 Samba 服务 器 端 配置 完毕 后 ， 需 要 分 别 对 局 域 网 内 的 Linux 和 Windows 两 种 
不 同 的 客户 端 进 行 配置 ， 使 其 能 够 连接 Samba 服务 器 访问 共享 目录 。 
※ 技 术 要 领 
(1) Linux 客户 端的 配置 。 
(2) Windows 客户 端的 配置 。 
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13.3.1 Linux 客户 端的 设置 


在 服务 器 端 将 Samba 服务 配置 完毕 后 , 本 节 介绍 Samba 客户 端 如 何 连接 Samba 服务 器 
访问 共享 目录 ， 首 先 讲述 Linux 客户 端的 设置 过 程 。 
Q 登录 172.18.12.178 的 Linux 主机 ， 首 先 查看 是 否 安装 有 Samba 客户 端 组 件 ， 如 图 13-20 所 
示 ， 输 入 tpm 命令 后 ， 图 13-20 中 标注 的 那个 组 件 就 是 Samba 客户 端 组 件 。 


图 13-20 查看 Samba 客户 端 组 件 


(2) Samba 客户 端 组 件 提供 的 smbclient 命令 可 以 列 出 目标 主机 的 共享 资源 列表 , 及 Samba 服务 
器 设置 的 相关 信息 ， 命 令 格式 如 下 : 
smbclient -L // 主 机 名 或 IP 地 址 -U 登录 用 户 名 
本 例 中 为 : 
smbclient -L //172.18.12.179 -U tian 
输入 smbclient 命令 后 ，shell 提示 输入 密码 ， 如 图 13-21 所 示 。 正 确 输 入 密码 后 ， 屏 幕 列 出 
目标 主机 的 共享 资源 信息 ， 如 图 13-22 所 示 。 其 中 显示 的 一 个 共享 目录 为 public， 即 上 节 在 
[public] 标 签 中 所 设 定 的 home/sharing 目录 ; 为 一 个 为 tian 目录 ， 即 登录 用 户 tian 的 根 目录 。 
图 13-22 第 二 个 标注 处 显示 了 Samba 服务 器 的 工作 组 名 ， 即 为 MSHOME。 


smbclient -L 17 2 -U tian 


图 13-21 smbclient 命令 
Q smbclient 命 令 也 同时 提供 了 登录 Samba 服务 器 、 访 问 共 享 目 录 的 功能 ， 命 令 格 式 为 : 
smbclient // 主 机 名 或 IP 地 址 /共享 目录 名 -U 登录 用 户 名 


本 例 中 为 : 


smbclient -L //sec/tian -U tian 


正确 输入 密码 后 ， 就 可 以 登录 到 tian 用 户 的 根 目 录 /home/tian， 如 图 13-23 所 示 。 可 以 像 在 
本 地 一 样 输入 shell 命令 ， 图 中 输入 ls 命令 列 出 了 目录 内 容 。 
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H 
H 
H 
H 
H 
A 
A 
H 
H 
H 


i 


b. 


图 13-23 访问 Samba 服务 器 端 /homeltian 目录 


使 用 下 面 命 令 访 问 Samba 服务 器 的 /public 目录 测试 用 户 权 限 ， 即 /home/sharing 

smbclient -L //sec/public -U tian 

由 于 public 目录 开放 了 写 权 限 ， 因 此 可 以 新 建 目 录 ， 输 入 下 面 命令 新 建 sambadir 目录 : 
mkdir sambadir 

如 图 13-24 所 示 ， 新 建 sambadir 成 功 ， 说 明 public 目录 确实 对 用 户 开 放 了 可 写 权 限 。 
Samba 服务 的 日 志文 件 存 放 在 /var/log/samba 目录 中 ， 工 作 组 MSHOME 中 的 所 有 主机 都 建 
立 了 日 志文 件 ， 如 图 13-25 所 示 ， 其 中 标注 的 文件 seugrid2.log 即 为 上 述 172.18.12.178 主机 
的 日 志文 件 。 查看 seugrid2.log 后 面 40 行 可 以 发 现 , 日 志文 件 记录 了 我 们 访问 tian 和 public 
目录 的 历史 ， 如 图 13-26 标注 部 分 所 示 
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图 13-24 测试 public 权限 


anba]# t 
41 


2d , gid-50 


, gid-50 


s user tian (uid=503, gid=5 


图 13-26 seugrid2.log 日 志 内 容 


中 点 评 与 拓展 : 使 用 smbclient 命令 进入 Samba 服务 的 共享 目录 后 , 命令 的 使 用 方式 
与 FTP 客户 端 相似 ， 下 载 文 件 的 命令 是 get， 上 传 文件 的 命令 是 put, H help 命令 提供 帮助 


13.3.2 Windows 客户 端的 设置 


介绍 了 Linux 客户 端 如 何 连接 Samba 服务 器 之 后 ， 接 着 讲述 Windows 客户 端 如 何 连 接 
Samba 服务 器 的 共享 目录 。 
O 在 桌面 上 双击 【网 上 邻居 】 图 标 ， 弹 出 如 图 13-27 所 示 的 【网 上 邻居 】 对 话 框 ， 单 击 左 侧 
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【网 络 任务 〗 下 拉 框 中 的 【查看 工作 组 计算 机 】 了 命令 ， 如 图 1327 标注 部 分 所 示 ， 弹 出 如 
1328 所 示 的 窗口 。 右 侧 主 窗口 列 出 了 所 有 MSHOME 工作 组 的 计算 机 ， 其 中 有 一 个 名 为 
MSHOME Samba Server (Sec)， 这 个 主机 名 正 是 我 们 在 /etc/samba/smb.conf 文件 的 全 局 设 定 
部 分 server string 设 定 项 的 内 容 。 


TPD RED FEV WRO TET AbD 


Q BP» pim m 


* ges 
图 13-27 【网 上 邻居 】 对 话 框 
XH) SAO FEV EQ IAW Who 
Qa- O 9 x» xm 国 - 
[TT TE MILI 
Diam 
网 络 任务 时 cue 


PI. RE Mj Fozman Ossec) 


€ 查看 Ps 连接 z» 

9 parenn SITIAN Ge T453963c8c5) 

NE H Ses-0655octabat 

T aaob Geu-dAgbALTdbdb) 

gu 查看 工作 姐 计 算 机 WM seu Geu-ff6G2ba5461) 
dress 


其 它 位 置 入 


y Microsoft Windors 


图 13-28 MSHOME 工作 组 计算 机 列表 


@@ 双击 MSHOME Samba Server (Sec) 图 标 连接 该 Samba 服务 器 ， 弹 出 提示 输入 用 户 名 和 密码 
的 对 话 框 ， 如 图 13-29 所 示 ，, 本 例 中 输入 tian 用户， 也 可 以 在 Windows XP 下 新 建 winsamba 
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用 户 进行 登录 。 用 户 名 /密码 验证 成 功 后 ， 弹 出 如 图 13-30 所 示 的 窗口 ， 其 中 列 出 了 我 们 开 
放 的 public 和 tian 两 个 共享 目录 ， 以 及 开放 的 打印 机 目录 ， 地 址 栏 中 显示 的 是 “WSec”， 
这 正 是 Samba 服务 器 172.18.12.179 的 主机 名 。 


XPD RED FEV KRW IAW WHW 


Qa- O p Pm Er m 


S sec 


网 络 任务 e rrr] e te 
wp 添加 一 个 同上 久居 
e Taw 

置 宗 庭 或 小 型 办 公 网 


公 室 设 
A FEIEN 
d gppes we as 


13-30 Samba 服务 器 共享 目录 列表 


© 进入 Samba 服务 器 的 public 目录 ， 可 以 看 到 里 面 已 经 有 了 我 们 在 Linux 客户 端 远程 创建 的 
sambatest Ek, Æ Windows 客户 端 同样 可 以 在 public 目录 下 创建 目录 或 文件 ， 我 们 示例 性 
地 新 建 一 文本 文件 ， 如 图 13-31 所 示 。 
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S public 在 NSHONE Samba Server (Sec) 上 
文件 EE) SEO SEV REO IRV Who 


Baa 
z 


sanbadir 


E] 

D 复制 这 个 文件 

Q parena 
Ya 


O 出 电子 部 件 形式 发 送 
此 文件 


g 打印 这 个 文件 
x 这 个 文件 


其 它 位 置 


TE 
3 Server Gec) 


四 sexes 
EU 
"E 
[E 


详细 信息 


图 13-31 在 public 中 新 建文 件 


o 从 Windows 系统 成 功 登 录 后 , 我们 同样 可 以 在 Samba 服务 器 端的 /varlog/samba 目录 中 查看 
Windows 客户 端的 日 志文 件 ， 文 件 名 为 seu-06558c4aba4.log 的 文件 即 为 上 述 Windows 客户 
端的 日 志文 件 ， 查 看 其 最 后 10 行 发 现 它 记 录 了 Windows 客户 端的 IP 地址 和 访问 历史 ， 如 
图 13-32 所 示 。 


"Im 


amba 
samba] # tail -n 10 seu-0655 
; 1] smbd, 
ce public 


y as user tian (uid-503, gid-50 


tian [uid-503, gid=50 


public 


B]13-32 ”查看 Windows 客户 端的 日 志文 件 


LO RYE STRE: 在 Windows 【开始 】 菜 单 的 【运行 】 对 话 框 中 输入 “WSamba 服 务 器 
名 ”或 其 IP 地 址 同样 可 以 访问 Samba 服务 器 的 共享 目录 。 
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134 本 章 小 结 


Samba 服务 对 于 网 络 资源 共享 、 多 操作 系统 之 间 的 互联 具有 重要 意义 ， 虽 然 其 服务 仅 
限于 在 信任 的 局 域 网 环境 内 提供 打印 机 共享 、 文 件 共享 等 ， 但 它 仍然 是 配置 局 域 网 的 祷 
技术 之 一 。 

本 章 首先 介绍 了 Samba 服务 器 的 概念 及 其 工作 原理 ， 重 点 介绍 了 Samba 服务 器 端的 配 
置 方法 及 其 用 户 权限 管理 ， 最 后 分 别 介绍 了 Linux 和 Windows 两 种 客户 端 如 何 连 接 Samba 
服务 器 访问 共享 目录 。 
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NTP(Network Time Protocol， 网 络 时 间 协 议 )， 主 要 用 于 Linux 服务 器 按 全 球 标准 时 间 
(UTC) 的 网 络 时间 校 正 ， 以 满足 各 类 时 间 敏 感 型 应 用 的 需求 。 本 章 介绍 NTP 服务 器 的 概念 
及 其 存在 的 意义 ， 着 重 介绍 架设 一 台 位 于 第 三 层 的 NTP 服务 器 的 配置 方法 ， 最 后 分 别 介绍 
Linux 和 Windows 两 种 客户 端 如 何 使 用 NTP 服务 器 进行 网 络 校 时 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 内 容 : 

令 NTP 服务 的 概念 和 意义 

* NTP 服务 器 端的 配置 

信 NTP 客户 端的 配置 


14.1 NTP 服务 概述 


14.1.1. NTP 服务 概述 


计算 机 的 系统 时 间 是 由 石英 晶体 振荡 电路 以 固定 的 振荡 频率 产生 的 ， 一 般 来 说 ， 由 于 
晶振 不 可 避免 的 存在 少许 误差 , 导致 所 产生 的 系统 时 间 与 全 球 标准 时 间 (UTC) 之 间 存 在 少许 
偏差 ， 随 着 时 间 的 推移 ， 偏 差 会 越 来 越 大 。 这 种 越 来 越 大 的 偏差 会 给 一 些 时 间 敏 感度 较 高 
的 网 络 应 用 带 来 不 可 预知 的 灾难 ， 如 银行 交易 系统 、 电 子 商务 系统 及 网 络 数据 库存 储 系统 
等 ， 这 些 应 用 对 操作 的 时 间 都 要 求 比较 精确 。 

NTP 正 是 为 了 解决 这 种 问题 而 产生 的 ，NTP 协议 最 早 由 美国 Delaware 大 学 的 Mills 教 
TET 1982 年 提出 ，1992 年 发 布 了 NTP v3， 这 也 是 当前 的 主流 协议 版 本 ，2001 年 又 发 布 了 
最 新 的 NTP v4 版 。 

NTP 是 使 计算 机 系统 与 NTP 服务 器 或 精确 时 钟 源 同步 化 的 一 种 协议 ,提供 了 高 精度 的 
网 络 时 间 校 正 。 精 确 时 钟 源 是 所 有 NTP 服务 器 获取 准确 时 间 的 源头 ， 它 通过 原子 钟 、 天 文 
台 、 卫 星 或 Internet 等 多 种 方式 获得 全 球 标准 时 间 ， 然 后 层次 式 地 向 下 面 的 NTP 服务 器 
传播 。 

NTP 将 所 有 NTP 服务 器 按照 离 精 确 时 钟 源 的 距离 , 分 为 不 同 的 层次 (stratum), 从 Internet 
角度 看 ， 我 们 将 NTP 服务 器 分 为 两 类 : 一 层 (Stratum 1) 的 NTP 服务 器 ， 它 是 指 有 全 球 标准 
时 间接 入 的 服务 器 , 这 些 一 层 服 务 器 是 所 有 NTP 服务 器 时 间 的 源头 , 通常 设置 了 访问 权限 ， 
一 般 只 提供 给 二 层 服务 器 访问 ， 二 层 (Stratum 2) 的 NTP 服务 器 ， 它 从 一 层 NTP 服务 器 获取 
全 球 标准 时 间 ， 并 对 外 提供 开放 服务 ， 任 何 下 层 的 NTP 服务 器 可 以 通过 访问 二 层 服务 器 获 
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得 全 球 标准 时 间 , 并 且 任何 个 人 服务 器 也 可 以 自愿 加 入 二 层 服务 器 池 , 为 广大 用 户 提供 NTP 
服务 。 官 方 网 站 http:/www.pool.ntp.org 提供 了 二 层 NTP 服务 器 资源 的 加 入 和 查询 世界 各 地 
的 二 层 NTP 服务 器 地 址 的 功能 ， 第 一 时 间 显示 了 目前 活跃 的 二 层 NTP 服务 器 ， 比 如 : 目前 
非洲 仅 有 一 台 二 层 NTP 服务 器 ， 中 国有 四 台 活 跃 的 NTP 服务 器 。 三 层 (Stratum 3) 及 三 层 以 
下 的 服务 器 就 是 用 户 自 行 架设 的 NTP 服务 器 ， 它 通过 二 层 服务 器 获得 全 球 标准 时 间 ， 向 局 
域 网 或 某 个 人 P 网 段 提供 标准 时 间 校 正 服务 。 层 数 取 决 于 它 从 哪 层 获取 全 球 标准 时 间 ， 源 头 
为 精确 时 钟 源 的 NTP 服务 器 为 第 一 层 ， 以 此 类 推 ， 但 是 总 层 数 被 限制 在 15 层 以 内 。 
NTP 协议 基于 RFC 1305/1119 实现 ， 是 能 够 运用 于 广域网 的 大 规模 同步 时 间 协 议 ， 可 
以 获得 毫秒 级 的 精度 。NTP 协议 的 精妙 之 处 在 于 它 中 间 的 算法 可 以 从 一 个 或 多 个 时 间 源 ， 
通过 时 间 蕉 ， 考 虑 网 络 延 迟 、 拌 动 等 服务 质量 (Quality of Service，QoS) 参 数 的 计算 得 出 精确 
时 间 。 
那么 NTP 客户 端 又 是 如 何 与 NTP 服务 器 进行 时 间 同 步 的 呢 ? 其 工作 流程 如 图 14-1 所 
示 ， 简 述 如 下 : 
(1) NTP 客户 端 向 服务 器 端 发 送 一 个 请 求 进行 时 间 同 步 的 UDP 包 , 该 包 记 录 了 它 离开 
客户 端 时 的 时 间 戳 。 
(2) NTP 服务 器 接收 到 该 包 后 ， 记 录 包 到 达 服 务 器 的 时 间 戳 及 包 离 开 客户 端的 时 间 戳 
等 数据 ， 然 后 立即 把 包 返 回 给 客户 端 。 
G) NTP 客户 端 接收 到 服务 器 的 回应 后 , 记录 包 返 回 到 客户 端的 时 间 戳 , 然后 通过 NTP 
协议 提供 的 算法 计算 出 客户 端 与 服务 器 之 间 的 时 间 偏 移 量 。 
(4) NPT 客户 端 利用 时 间 偏 移 量 调整 本 地 时 钟 ， 使 其 时 间 与 服务 器 保持 同步 。 


NTP 客 户 端 1. 发 送 同步 时 间 请 求 记 NTP 服 务 器 
录 发 出 时 的 时 间 戳 
2. 立 即将 该 包 返 回 给 客户 端 
3. 记 录 收 到 啊 应 的 时 间 截 


计算 时 间 偏 移 量 
S 4. 根 据 计算 出 的 时 间 偏 移 


量 同步 时 间 


14-1 NTP 工作 流程 


14.1.2 NTP 协议 组 件 简介 


Fedora 6.0 已 经 默认 安装 了 NTP 协议 ， 主 要 包含 以 下 两 个 组 件 : 
* ntp 
NTP 服务 器 的 主要 组 件 ， 包 括 了 所 有 的 配置 文件 和 执行 文件 。 
+  tzdata 
NTP 服务 器 的 附属 组 件 ， 提 供 了 各 个 时 区 对 应 的 显示 格式 ， 即 Time Zone Data. 
NTP 服务 器 的 配置 文件 主要 包含 以 下 几 个 。 
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letc/ntp.conf 
NTP 服务 守护 进程 的 主 配置 文件 ， 下 节 将 详细 介绍 其 配置 。 
/usr/share/zoneinfo/ 
该 目录 是 Linux 系统 提供 的 ， 而 不 是 NTP 所 提供 的 。 这 个 目录 下 的 文件 规定 了 
此 界 各 主要 时 区 的 时 间 设 定 。 
/etc/sysconfig/clock 
该 文件 是 Linux 的 主要 时 区 设 定 文件 ， 每 次 开机 后 系统 自动 读 取 该 文件 来 设 定 自 
己 系 统 所 预 设 要 显示 的 时 区 ， 具 体 时 区 文件 就 是 到 上 面 的 /usr/share/zoneinfo/ 目 录 
中 相应 地 读 取 。 
/etc/localtime 

该 文件 记录 了 本 地 时 间 ， 
相应 的 时 区 文件 生成 。 


E 
Ri 
A 
m 
S 


的 默认 时 区 ， 通 常 是 复制 /usr/share/zoneinfo/ 


* /bin/date 
Linux 系统 输入 和 修改 日 期 与 时 间 的 命令 。 
+  [sbin/hwclock 
写 入 或 读 取 BIOS 时 间 的 命令 , 必须 是 root 权限 方 能 执行 该 命令 。 由 于 Linux 系统 
和 BIOS 时 间 与 系统 时 间 是 分 开 的 ， 所 以 使 用 date 命令 调整 了 时 间 之 后 ， 还 需要 
使 用 hwelock 才能 将 修改 过 的 时 间 写 入 BIOS 中 。 
+  lusr/sbin/ntpd 
NTP 服务 守护 进程 的 入 口 程序 。 
*  lusr/sbin/ntpdate 
客户 端 进行 时 间 同 步 的 命令 。 
+  lusr/sbin/ntptrace 
用 于 追踪 某 台 时 间 服 务 器 的 时 间 对 应 关系 的 命令 ， 可 以 测试 NTP 服务 器 。 
14.2 NTP 服务 器 端的 配置 
应 用 实例 导航 一 一 架设 NTP 服务 器 
KREM 


为 某 内 部 局 域 网 架设 NTP 服务 器 ， 所 架设 的 NTP 服务 器 为 第 三 层 NTP 服务 器 ， 对 外 
公开 访问 ， 从 第 二 层 服务 器 获得 全 球 标准 时 间 。 


※ 技 术 要 领 


(1) NTP 服务 器 端的 配置 。 
Q) NTP 服务 器 端的 启动 和 测试 。 
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本 节 介 绍 NTP 服务 器 端的 配置 方法 ， 重 点 介绍 NTP 服务 主 配 置 文件 /etc/ntp.conf 的 意 
义 和 设 定 方法 ;然后 介绍 如 何 启动 NTP 服务 器 ， 以 及 如 何 测 试 NTP 服务 器 。 


14.2.1. NTP 服务 器 端 设 定 


NTP 服务 的 主 配置 文件 /etc/ntp.conf 设 置 了 该 NTP 服务器 的 外 部 时 钟 源 的 地 址 以 及 其 他 
主机 访问 的 权限 。 下 面 介绍 /etc/ntp.conf 的 和 设 定 方法 。 
Q 首先 ,给 入 下 面 命令 确认 ntp 组 件 是 否 安装 ， 如 图 14-2 所 示 , 目前 Linux 系统 的 ntp 版 本 一 
般 为 4.2.*。 


rpm -qa | grep ntp 


dmin]# rpm -qa | grep ntp 
0.1-1 


6-11 


图 14-2 ”检查 NTP 是 否 安装 


© NTP 服务 主 配置 文件 /etc/ntp.conf 已 经 有 了 一 些 默 认 的 设 定 ， 而 且 以 “ 哩 ”号 开头 的 那些 语 
句 行 对 大 部 分 的 默认 设 定 语句 都 进行 了 注释 ， 因 此 ， 我 们 只 需 根 据 需 要 去 掉 注释 或 添加 几 
行 即 可 。 打 开 /etc/ntp.conf 文件 ， 如 图 14-3 所 示 


restrict default nomodify notrap noquery 


此 行 说 明 不 允许 其 他 计算 机 修改 或 查询 配置 在 本 机 上 的 NTP 服务 , 其 中 default 参数 表示 所 
A IP HAE 


图 14-3 J/etc/ntp.conf 设 定 


*295* 


a Linux 服务 器 架设 与 管理 四 

restrict 127.0.0.1 

此 行 说 明 开放 本 机 内 部 环 路 接口 ， 用 于 在 本 地 对 NTP 服务 器 进行 监控 和 测试 。 

如 果 要 对 访问 该 NTP 服务 器 的 客户 端 进行 限制 , 也 是 使 用 restrict 语句 。 假如 所 架设 的 NTP 
服务 器 只 对 内 部 局 域 网 开放 , 局 域 网 IP 范围 为 192.168.10.0, 那么 添加 下 面 语句 ， 如 图 14-4 
Bro: 


restrict 192.168.10.0 mask 255.255.255.0 nomodify notrap 


-- CLIENT NETWORK 
Permit 
ti 


图 14-4 ”限制 客户 端 IP 范围 
由 于 本 例 中 要 求 该 NTP 服务 器 对 外 面 的 所 有 主机 都 开放 , 因此 , 这 段 也 采用 默认 设置 即 可 。 
由 注释 行 “# --- OUR TIMESERVERS -----” 开 始 的 段落 ， 设 定 了 上 层 的 NTP 服务 器 ， 由 于 
我 们 所 架设 的 NTP 服务 器 处 于 第 三 层 ， 因 此 这 里 应 该 添加 第 二 层 的 NTP 服务 器 。 可 以 通过 
查询 http://www.pool.ntp.org 网 站 ， 发 现 中国 目 前 活跃 的 第 二 层 NTP 服务 器 地 址 有 server 
0.asia.pool.ntp.org 等 四 个 ， 如 图 14-5 标注 部 分 所 示 ， 因 此 ， 将 这 几 个 活跃 第 二 层 NTP 服务 
器 的 地 址 写 入 /etc/ntp.conf 之 中 ， 如 图 14-3 的 标注 部 分 所 示 。 


Nip pog China — cn.pool.ntp.org 
PROJECT n " 


"- | (EBED 


Translations 


图 14-5 查看 中 国 的 NTP 服务 器 
QD /etc/ntp.conf 文件 的 其 他 部 分 采用 默认 设置 即 可 ， 下 面 介绍 其 中 的 两 个 配置 项 ， 分 别 为 本 地 
时 钟 源 设 定 和 自然 漂移 的 设 定 ， 如 图 14-6 所 示 
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图 14-6 ”本 地 时 钟 源 和 自然 漂移 设 定 


server 127.127.1.0 * local clock 
fudge 127.127.1.0 stratum 10 


fudge 语句 将 本 地 时 钟 源 设置 为 第 10 层 ， 优 先 级 很 低 ， 这 样 的 设 定 使 该 服务 器 一 旦 能 连接 
外 部 NTP 服务 器 就 可 以 通过 外 部 时 钟 源 进行 时 钟 同步 ， 在 确实 没有 外 部 时 钟 源 的 情况 下 才 
使 用 本 地 时 钟 源 进行 时 钟 同步 


driftfile /var/lib/ntp/drift 


NTP 守护 进程 每 次 与 第 二 层 NTP 服务 器 连接 时 ， 都 会 自动 更 新 该 文件 ， 用 于 补偿 系统 时 钟 
的 自然 漂移 ， 从 而 使 得 系统 时 钟 即使 在 切断 与 外 部 时 钟 源 连 接 的 情况 下 ， 仍 然 能 够 在 一 段 
时 间 内 保持 相当 的 精确 度 

o 最 后 设 定 /etc/sysconfig/ntpd 文件 ， 添 加 SYNC HWCLOCK-yes 一 行 语句 ， 如 图 14-7 Pros, 
这 样 每 当 该 NTP 服务 器 通过 外 部 时 钟 源 校正 时 间 后 ， 会 自动 更 新 BIOS 时 间 ， 使 得 系统 时 
间 和 BIOS 时 间 同 步 


图 14-7 /etc/sysconfig/ntpd 设 定 


乓 点评 与 拓展 :NTP 服务 器 相当 于 时 间 代 理 服务 器 ， 通 过 连接 第 二 层 NTP 服务 器 
获得 全 球 标 准时 间 ， 再 以 一 定 的 权限 开放 给 下 面 的 主机 ， 因 此 重要 的 设 定 包括 第 二 层 NTP 
服务 器 的 地 址 和 它 的 开放 权限 


14.2.2 NTP 服务 的 启动 和 测试 


NTP 服务 配置 完毕 后 ， 就 可 以 启动 NTP 服务 。 
@ ntpd 服务 仍然 是 在 /etc/init.d 目录 下 ， 使 用 下 面 命令 启动 ， 如 图 14-8 所 示 。 


/etc/init.d/ntpd start 
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关闭 、 重 启 ntpd 服务 ， 查 看 ntpd 服务 状态 等 命令 格式 亦 列 于 下 方 。 
/etc/init.d/ntpd (restart|reload|condrestart|status] 

然后 通过 观察 网 络 端口 ， 检 查 ntpd 进程 是 否 在 某 个 端口 上 进行 监控 ， 输 入 下 面 命令 : 
netstat -tlunp | grep ntp 


结果 如 图 14-8 所 示 ，ntpd 服务 在 本 地 环 路 网 卡 及 eth0 网 卡 上 的 123 号 端口 进行 UDP 包 的 


图 14-8 启动 ntpd 服务 
其 他 重启 、 关 闭 ntpd 的 命令 类 似 于 其 他 Linux 系统 服务 ， 图 14-9 演示 了 重启 ntpd 服务 的 


结果 
E 


图 14-9 重启 ntpd 服务 


[2] ntpd 启动 成 功 后 ， 它 就 开始 尝试 与 上 层 的 NTP 服务 器 进行 连接 。 那 么 如 何 确认 所 架设 的 
NTP 服务 器 与 其 上 层 的 NTP 服务 器 连接 成 功 了 呢 ? 可 以 使 用 ntpstat 命令 来 查看 ， 图 14-10 
所 示 的 信息 表示 与 上 层 的 NTP 服务 器 尚未 连接 成 功 。 等 过 了 一 段 时 间 之 后 ， 可 以 再 次 输入 
ntpstat 命令 查看 ， 如 图 14-11 所 示 ， 发 现 连 接 成 功 ， 提 示 为 在 第 车 接 成 功 ， 这 说 明 我 们 
所 架设 的 第 三 层 NTP 服 务 器 已 经 成 功 地 与 第 二 层 的 NTP 服 务 器 连接 上 ,并 能 进行 时 间 同 步 。 


加 


14-11 连接 第 二 层 NTP 服务 器 成 功 
© 还 可 以 使 用 下 面 的 命令 查看 本 机 NTP 服务 的 同步 状态 ， 如 图 14-12 所 示 。 
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ntpq -p 


图 14-12 检查 NTP 服务 的 同步 状态 
O 如 果 该 NTP 服务 器 启动 了 防火 墙 ， 还 要 注意 一 下 安全 设 定 ， 否 则 经 常会 因为 防火 墙 的 设置 


问题 导致 无 法 连接 到 上 层 的 NTP 服务 器 。 假设 我 们 需要 对 内 部 子 网 192.168.10.0 开放 ， 那 
么 就 需要 添加 下 面 的 规则 ， 如 图 14-13 所 示 。 


iptables -A INPUT -p UDP -i ethl -s 192.168.10.0/24 --dport 123 -j ACCEPT 


该 命令 对 内 部 子 网 开启 端口 号 为 123 的 UDP 端口 ， 命 令 参数 的 含义 在 此 不 再 详 述 ， 读 者 可 
以 参考 第 3 章 “Linux 防火 墙 与 NAT 服务 ”。 


图 14-13 NTP 服务 器 的 安全 设 定 


的 点 评 与 拓展 : 仍然 需要 强调 的 是 ， 启 动 ntpd 服务 时 ，shell 提示 成 功 ， 未 必 就 说 明 
ntpd 服务 正常 运行 。 应 该 查看 其 侦 听 进程 ， 并 且 测 试 ntpd 服务 是 否 与 上 层 的 NTP 服务 器 成 
功 连接 ， 


14.3 NTP 客户 端的 配置 


应 用 实例 导航 一 一 NTP 客户 端 配置 和 测试 


※ 场 景 呈现 


为 某 内 部 局 域 网 架设 NTP 服务 器 完毕 后 ,需要 分 别 对 局 域 网 内 的 Linux 和 Windows 两 
种 不 同 的 客户 端 进行 配置 ， 使 其 能 够 成 功 地 通过 NTP 服务 器 同步 更 新 时 间 。 
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(1) Linux 客户 端的 配置 。 
(2) Windows 客户 端的 配置 。 


14.3.1 Linux 客户 端的 配置 
在 服务 器 端 将 NTP 服务 配置 完毕 后 ， 本 节 介绍 NTP 客户 端 如 何 使 用 NTP 服务 器 校正 
时 间 ， 首 先 讲述 Linux 客户 端的 设置 过 程 。 
Q Lims 客户 端 使 用 ntpdate 命令 进行 时 间 同步 ， 如 图 14-14 所 示 。ntpdate 命令 格式 如 下 : 
ntpdate [-nv] [NTP IP 地 址 /主机 名 ] 
本 例 使 用 IP 地 址 确认 NTP 服务 器 ， 因 此 命令 为 : 
ntpdate 172.18.12.179 


通过 ntpdate 校正 的 是 系统 时 间 ， 我 们 再 将 其 写 入 BIOS， 使 得 系统 时 间 与 BIOS 时 间 同 步 ， 
命令 如 下 : 


hwclock -w 


顺便 介绍 一 下 date 命令 ， 如 果 该 命令 不 带 任何 参数 就 是 读 取 当前 的 系统 时 间 ， 如 果 后 面 带 
如 下 格式 的 参数 ， 就 是 更 新 当前 的 系统 时 间 。 


date MMDDhhmmYYYY 


Jt'P, MM: 月 份 ; DD: HH; hh: 小 时 ; mm: 分 钟 ; YYYY: 西元 年 。 
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O 为 了 使 Linux 客户 端 每 天 都 能 保持 与 NTP 服务 器 的 同步 ， 可 以 定时 执行 时 间 同 步 命令 ， 只 
要 将 其 写 入 erontab， 如 图 14-15 标注 所 示 。 


30 6 * * * root /usr/sbin/ntpdate 172.18.12.179 && /sbin/hwclock -w 


该 语句 表明 每 天 的 6: 30 执行 root /usr/sbin/ntpdate 172.18.12.179 和 /sbin/hwclock -w 两 条 
命令 进行 时 间 同 步 。 

由 于 crontab 在 第 16 章 “Linux 服务 器 的 性 能 监控 ”中 还 会 用 到 ， 其 本 身 也 是 Linux 系统 所 
提供 的 非常 实用 的 功能 ， 因 此 ,我 们 详细 讲述 一 下 crontab 相关 的 知识 和 命令 。crontab 命令 
的 功能 是 在 一 定 的 时 间 间 隔 调度 一 些 命令 的 执行 。 在 /ete 目录 下 有 一 个 crontab 文件 ， 这 里 
存放 有 系统 运行 的 一 些 调度 程序 。 每 个 用 户 可 以 建立 自己 的 调度 crontab， 下 面 解 释 几 条 
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crontab 的 常用 命令 : 


crontab -u user -e 或 vi /etc/crontab 


# run-pa 


30 6 * * * 


图 14-15 每 天 进行 时 间 同 步 
用 于 编辑 用 户 user 的 cron 作业 ， 用 户 通 过 编辑 文件 来 增加 或 修改 任何 作业 请 求 。 
crontab -u user -r 


用 于 删除 user 用 户 的 所 有 的 cron 作业 。 

crontab -u user -l 或 cat /etc/crontab 

用 于 显示 user 用 户 的 显示 计划 。 

每 个 Linux 系统 用 户 都 可 以 安排 自己 的 计划 作业 ，/etc/cron.allow 表示 哪些 用 户 能 使 用 

crontab 命令 ， 如 果 它 是 一 个 空 文件 表明 没有 一 个 用 户 能 安排 作业 。 如 果 这 个 文件 不 存在 ， 

而 有 另外 一 个 文件 /etc/cron.deny, 则 只 有 不 包括 在 这 个 文件 中 的 用 户 才 可 以 使 用 crontab 命 

入。 是 一 个 空 文件 表明 任何 用 户 都 可 安排 作业 .。 两 个 文件 同时 存在 时 cron.allow 优先 ， 
在 ， 只 有 超级 用 户 可 以 安排 作业 。Linux 系统 用 户 的 作业 与 它们 预定 的 时 间 储存 


如 果 都 
É X f /usr/spool/cron/crontabs/username 中 。username 是 用 户 名 ， 在 相 " 的 文件 中 存放 着 该 
用 户 所 要 运行 的 命令 。 命令 执行 的 结果 ， 无 论 是 标准 输出 还 是 错误 输出 ， 都 将 以 邮件 形式 
发 给 用 户 。 

从 图 14-15 可 以 看 出 crontab 中 的 语句 格式 为 : 


* * * * * 用户 名 可 执行 命令 


前 面 的 五 个 “*” 分 别 表示 分 钟 、 小 时 、 日 期 、 月 份 、 星 期 ， 取 值 范围 分 别 为 0 一 59、0 一 23、 
1~31、1 一 12、0 一 6”， 比 如 : 

* * * ox 二 // 代 表 每 分 钟 

1 * * * * // 代 表 每 小 时 第 1 分 钟 

02 12 * * * // 代 表 每 天 12 点 第 2 分 钟 (每 天 12: 02) 

0-59/2 * * * * // 代 表 每 2 分 钟 执行 一 次 任务 


14.3.2. Windows 客户 端的 配置 


ri 讲述 Windows 客户 端 如 何 连接 NTP 服务 器 进行 时 间 同 步 。 
在 桌面 上 选择 【我 的 电脑 】 一 【控制 面板 】 一 【日 期 与 时 间 】 命 令 ， 弹 出 如 图 14-16 
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所 示 的 对 话 框 ， 切 换 到 【Intemet 时 间 】 选 项 卡 ， 在 【服务 器 】 文 本 框 中 填 入 刚才 所 设 定 的 
NTP 服务 器 地 址 ， 本 例 中 为 172.18.12.179， 然 后 单 击 【 立 即 更 新 】 按 钮 ， 提 示 信 息 表明 同 
步 时 间 成 功 。 


日 期 和 时 间 Ett 


| 时 间 和 日 期 ] 时 区 | Internet 时 间 | 


v] 自动 与 Internet 时 间 服 务 器 同步 (S) 

服务 器 : [172.18.12.179 司 
与 172. 18. 12. 179 同步 时 间 成 功 ， 在 2007-10-23 在 20:06。 
下 次 同步 : 2007-10-30 在 20:06 


只 有 在 你 的 计算 机 与 Interne . AXES 
BT BRA S ORE d Rent 


确定 ][ ms ][ 应 用 &) ] 


14-16 Windows 客户 端 进行 网 络 校 时 


的 点 评 与 拓展 : Linux 系统 客户 端 网 络 校 时 需要 附加 设 定 BIOS 的 时 间 ， 在 Windows 
中 则 不 需要 。 


144 本 章 小 结 


网 络 时间 服 务 在 当今 网 络 中 有 着 非常 重要 的 意义 和 非常 广泛 的 应 用 ， 是 所 有 支持 时 间 
敏感 型 应 用 所 必须 架设 的 服务 器 。 但 是 就 配置 和 架设 NTP 服务 器 本 身 来 说 并 不 难 ， 读 者 可 
以 轻松 地 理解 本 章 的 内 容 。 

本 章 首先 介绍 了 NTP 服务 器 的 概念 及 其 存在 的 意义 ， 重 点 介绍 架设 一 台 位 于 第 三 层 的 
NTP 服务 器 的 配置 方法 , 最 后 分 别 介绍 Linux 和 Windows 两 种 客户 端 如 何 使 用 NTP 服务 器 
进行 网 络 校 时 。 


ja 
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配置 Linux 服务 器 时 往往 需要 涉及 到 各 种 shell 命令 和 配置 文件 , 使 得 初学 者 头痛 不 已 ， 
如 果 有 一 个 类 似 于 Windows 图 形 窗口 的 Linux 图 形 化 管理 工具 ， 对 于 初学 者 来 说 无 疑 是 很 
便利 的 。Webmin 就 是 这 样 一 种 功能 强大 、 使 用 方便 的 Linux 图 形 化 管理 工具 。 在 Webmin 
下 ， 无 需 使 用 shell 命令 和 手工 修改 复杂 的 配置 文件 ， 就 可 以 非常 方便 地 对 Linux 服务 器 进 
行 管理 和 配置 。 本 章 主要 介绍 怎样 利用 Webmin 工具 进行 Linux 下 各 种 服务 的 配置 。 
通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 内 容 : 
Webmin 的 安装 和 配置 
使 用 Webmin 配置 DHCP 服务 
使 用 Webmin 配置 Samba 服务 
AEH] Webmin 配置 DNS 服务 
使 用 Webmin 配置 Web 服务 
使 用 Webmin 配置 NFS 服务 
使 用 Webmin 配置 SSH 服务 
使 用 Webmin 配置 防火 墙 服务 
AER] Webmin 配置 MySQL 服务 
使 用 Webmin 管理 系统 软件 


999999292929 


15.4 Webmin 简介 


Webmin 是 目前 功能 最 强大 的 基于 Web 的 集 系统 管理 和 网 络 管理 于 一 身 的 图 形 化 Linux 
和 UNIX 的 管理 工具 , 网 络 管理 员 通过 浏览 器 访问 Webmin 友好 的 用 户 窗口 ,从 而 可 以 轻松 
地 管理 本 地 或 远程 服务 器 。 目 前 Webmin 支持 绝 大 多 数 的 Linux 和 UNIX 系统 ， 这 些 系统 除 
了 各 种 版 本 的 Linux 以 外 还 包括 AIX, HPUX, Solaris, UNIXware, Irix 和 FreeBSD 等 。 

相对 于 其 他 GUI 管理 工具 而 言 ，Webmin 具有 如 下 显著 优点 : 

今 “Web 管理 方式 使 得 Webmin 同时 具有 本 地 和 远程 管理 的 能 力 。 

令 “ 插 件 式 结构 使 得 Webmin 具有 很 强 的 扩展 性 和 伸缩 性 。 

分” 访问 控制 和 SSL 支持 为 远程 管理 提供 了 足够 的 安全 性 。 

今 “ 国 际 化 支持 ， 提 供 多 国语 言 版 本 ， 包 括 简体 中 文 。 

Webmin 可 以 让 用 户 在 远程 使 用 支持 HITPS (SSL 上 的 HITP) 协 议 的 Web 浏览 器 通过 
Web 窗口 管理 主机 ， 在 保证 安全 性 的 前 提 下 提供 了 简单 深入 的 远程 管理 。 这 对 于 系统 管理 
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员 来 说 非常 理想 ， 因 为 所 有 主流 平台 都 有 满足 甚至 超出 上 述 需 求 的 Web 浏览 器 。 而且， 
Webmin 有 其 自己 的 “Web 服务 器 ”， 不 需要 运行 第 三 方 软件 (比如 Web 服务 器 )。Webmin 
的 模块 化 架构 允许 用 户 在 需要 时 编写 自己 的 配置 模块 ， 本 章 仅仅 介绍 前 面 章节 所 介绍 的 重 
要 网 络 服务 器 的 配置 模块 , 其实 Webmin 还 包括 许多 模块 ,几乎 系统 的 每 一 部 分 都 能 够 通过 
Webmin 来 配置 和 管理 ， 更 丰富 的 功能 需要 读者 在 实践 中 挖掘 。 


15.2 Webmin 的 安装 和 配置 


应 用 实例 导航 一 一 Webmin 的 安装 和 配置 


※ 场 景 呈现 


A 公司 为 了 方便 各 类 Linux 服务 器 的 管理 , 需要 利用 Webmin 软件 以 图 形 化 的 方式 对 各 
种 服务 器 进行 配置 、 启 动 和 管理 。 要 求 为 A 公司 安装 Webmin 软件 ， 端 口 设 为 10000 5, 
登录 账户 为 root 用 户 ， 并 且 需 要 在 服务 器 启动 时 就 自动 启动 Webmin。 


(1) Webmin 的 安装 。 
(2) Webmin 端口 和 账户 的 配置 。 
(3) Webmin 的 启动 和 登录 。 


Webmin 是 Linux 系统 外 的 第 三 方 软件 ， 因 此 本 节 首 先 介绍 Webmin 的 安装 ， 在 安装 过 
程 中 介绍 Webmin 的 账户 和 端口 配置 ， 最 后 介绍 如 何 启动 Webmin， 以 及 如 何 登录 Webmin 
对 各 类 服务 器 进行 管理 。 


15.2.1 Webmin 的 安装 


本 节 介 绍 Webmin 的 下 载 和 安装 过 程 ， 有 具体 步骤 如 下 。 
o Webmin 安装 包 可 以 到 网 站 http://prdown.source.net/webadmin 下 载 , 或 者 从 本 书 的 附带 光盘 
中 获得 . 这 里 演示 压缩 包 的 安装 方法 。 本 书 使 用 的 Webmin 1.340 版 本 是 目前 比较 新 的 版 本 ， 
提供 的 功能 比较 完善 ， 下 载 窗口 如 图 15-1 所 示 。 
© Webmin 安装 包 名 字 为 webmin-1.340.tar.gz。 在 /usr/local 目录 下 使 用 下 面 命令 解压 安装 包 ， 
得 到 /usr/local/webmin-1.340 目录 ， 进 入 该 目录 ， 如 图 15-2 所 示 。 


tar -zxvf webmin-1.340.tar.gz 


安装 目录 webmin-1.340 中 包含 setup.sh 这 个 可 执行 文件 ， 使 用 下 面 命令 执行 之 ， 就 开始 安 
X Webmin， 如 图 15-3 所 示 。 
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./setup.sh 


安装 程序 首先 提示 确定 Webmin 的 安装 路 径 , 默认 为 /etc/webmin。 如 果 采 用 默认 值 , 3 Enter 
键 继续 ; 如果 需要 改变 Webmin 安装 路 径 ， 则 输入 指定 的 安装 路 径 。 接 着 提示 确定 Webmin 
的 日 志 目 录 路 径 ， 默 认为 /var/webmin， 一 般 采 用 默认 值 ， 按 Enter 键 继续 ， 如 图 15-3 标注 
部 分 所 示 。 


Marten CIA Memory C 


Webmin 


Monnor Your Network Fast 


图 15-1 Webmin 下 载 窗口 


webmin-1. 


图 15-3 ”开始 Webmin 安装 


*305* 


Linux 服务 器 架设 与 管理 


© 由 于 Webmin 是 使 用 标准 的 perl 语言 实现 的 ,因此 安装 程序 会 提示 pel 语言 解释 器 的 路 径 ， 
默认 为 /usr/bin/perl。 此 时 务必 保证 perl 语言 解释 器 已 经 安装 ， 且 perl 的 
否则 系统 将 无 法 安装 Webmin。 一 般 采 用 默认 路 径 即 可 ,仍然 按 Enter t4 如 图 15-4 标 
注 部 分 所 示 。 


图 15-4 确认 perl 路径 


O 接着 安装 程序 提示 确认 Webmin 端口 ， 默 认 的 TCP 端口 为 10000 号 ， 如 果 10000 端口 被 其 
他 进程 所 占用 ， 安 装 停止 ， 提 示 信 息 如 图 15-5 所 示 ， 这 种 情况 下 或 者 将 占用 10000 端口 的 
进程 关 掉 ,或 者 将 Webmin 换 成 其 他 空闲 端口 。 端口 验证 通过 后 , 安装 程序 提示 输入 Webmin 
的 登录 账号 和 密码 ， 默 认为 admin， 我 们 一 般 使 用 root 账户 登录 ， 然 后 重复 两 次 确认 密码 ， 

如 图 15-6 标注 部 分 月 


示 。 最 后 ， 安 装 程序 询问 是 否 在 服务 器 启动 时 就 启动 Webmin 程序 ， 
一 般 选 是 。 


图 15-5 10000 端口 被 占用 


图 15-6 确认 端口 和 登录 账户 
所 有 的 安装 提示 都 通过 验证 后 ，Webmin 安装 成 功 并 成 功 启 动 ， 提 示 信 息 如 图 15-7 所 示 。 
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n with the name anc 


图 15-7 ”安装 Webmin 成 功 


Q 最 后 附带 介绍 卸载 Webmin 的 方法 ， 通 常 不 建议 手动 删除 Webmin 的 安装 目录 ， 这 样 常常 
造成 印 载 得 不 干净 。 我 们 利用 Webmin 提供 的 印 载 程序 印 载 ， 进 入 Webmin 安装 后 的 目录 ， 
本 例 为 /ete/webmin， 其 中 有 一 个 可 执行 文件 为 uninstall.sh， 输 入 下 面 命令 卸载 ， 如 图 15-8 
所 示 


./uninstall.sh 


图 15-8 $t Webmin 


15.2.2 Webmin 的 启动 


由 于 上 面 安装 Webmin 时 设置 了 服务 器 启动 时 自动 启动 Webmin 程序 , 因此 一 般 不 需 手 
启动 Webmin, Webmin 启动 命令 也 因此 常 被 忽略 。 但 是 ， 有 时 在 Webmin 程序 被 非 正 常 
关闭 后 ， 却 需要 Webmin 的 启动 命令 ， 因 此 在 此 对 Webmin 的 启动 方法 作 简单 介绍 。 

o Webmin 的 启动 命令 仍然 在 安装 目录 下 , Bü /usr/local/webmin-1.340 目录 , 其 中 的 webmin-init 

可 执行 文件 即 为 Webmin 的 启动 命令 ， 通 过 如 下 形式 调用 该 命令 ， 如 图 15-9 所 示 


./webmin-init start 
关闭 、 重 启 Webmin 命令 格式 如 下 : 
./webmin-init (stoplrestart] 


in-init 
in-init 


15-9. Webmin 启动 命令 


ps] 


O 如 果 在 安装 过 程 中 没有 选择 在 服务 器 启动 时 自动 启动 Webmin， 可 以 通过 如 下 办 法 补救 : 将 
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Webmin 启动 命令 写 入 /etc/rc.local 文件 ， 如 图 15-10 标注 部 分 所 示 ， 即 在 服务 器 启动 时 就 立 
即 执 行 .webmin-init start 这 条 命令 ， 这 同样 可 以 实现 服务 器 启动 时 自动 启动 Webmin。 不 过 
需要 注意 的 是 ，rc.local 中 需要 写 入 webmin-init 的 绝对 路 径 。 


uff in h 


tuff. 


图 


15-310 ”服务 器 启动 立即 启动 Webmin 


15.2.3 Webmin 的 登录 


Webmin 正常 启动 后 ， 就 可 以 通过 Web 浏览 器 登录 Webmin。 
Q 在 IE 浏览 器 地 址 栏 输入 http:WIP:10000， 本 例 是 输入 http://172.18.12.178:10000， 如 果 在 本 
机 登录 Webmin 只 需 输入 http://localhost:10000 即 可 。 可 以 看 到 如 图 15-11 所 示 的 登录 窗口 。 


A http://172. 18. 12. 173: 10000/ - Hicrosoft Intornot Exploror 


ET Ey 
Mié sje € Ehm aa 
: ager us &- 
[Login io Webmin OO] 
You rust e o 


the Wel 
Usemame — (nd 


Password —— [eeeeeee 


[O Remember login perranently? 


图 15-11. Webmin 登录 窗口 
Q 正确 输入 安装 时 所 设 定 的 用 户 账 户 和 密码 后 ， 即 可 登录 Webmin， 出 现 如 图 15-12 所 示 的 窗 
口 。 窗 口 左 侧 的 菜单 即 为 Webmin 的 管理 服务 器 的 初始 菜单 ， 如 图 15-12 标注 部 分 所 示 。 窗 
口中 部 显示 了 该 服务 器 的 性 能 参数 , 包括 主机 名 、 操作 系 统 版 本 、Webmin 版 本 、 系 统 时 间 、 
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CPU 平均 负载 、 物 理 内 存 、 虚 拟 内 存 以 及 磁盘 空间 等 。 


Sun Nev4 19:14:07 2007 
2.02 (! min) 0.02 € mins) 0.00 (15 mins) 


45 41 MB total, 207 44 MB used 


102399 MB ictal, KD used 


e 2356 OB total, 11.05 GB used 


15-12 Webmin 初始 管理 窗口 


© Webmin 提供 了 多 种 语言 支持 ， 包 括 简体 中 文 。 在 Webmin 左 侧 菜单 区 域 选 择 
Webmin 一 Webmin Configuration 命令 ,出现 如 图 15-13 所 示 的 初始 管理 窗口 。 在 右 侧 主 窗口 
的 图 标 区 域 选 择 Language 就 进入 如 图 15-14 所 示 的 设置 语言 窗口 ， 在 Display in language 
下 拉 列 表 框 中 选择 语言 种 类 ， 这 里 选择 Simplified Chinese (ZH. CN)， 即 简体 中 文 。 然 后 单 
击 Change Language 按钮 改变 窗口 语言 ， 就 可 以 出 现 如 图 15-15 所 示 的 中 文 窗口 , 但 是 左 侧 
菜单 区 域 仍然 是 英文 的 。 
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a #15% 使 用 Webmin 图 形 化 配置 Linux 服务 器 = 


国 点 评 与 拓展 : 如 果 Linux 服务 器 启动 了 防火 墙 ， 请 务必 保证 TCP 10000 号 端口 的 
畅通 ， 否 则 将 导致 IE 无 法 远程 访问 。 


15.3 使 用 Webmin 配置 DHCP 服务 


应 用 实例 导航 一 一 利用 Webmin 架设 DHCP 服务 器 


※ 场 景 呈现 


A 公司 利用 Webmin 配置 DHCP 服务 器 , 要 求 将 DHCP 服务 器 动态 分 配 的 他 地址 范围 
限制 在 172.18.12.100~172.18.12.240 之 内 ， 其 他 下 地 址 保留 下 来 ; 将 seu-06558c4aba4 这 人 台 


主机 静态 地 与 IP 172.18.12.140 相 绑 定 。 另 外 ，DHCP 分 配 的 IP 的 预 设 有 效 期 是 1 天 ， 最 长 
为 3 天 。 

假设 A 公司 的 另 一 个 局 域 网 段 为 192.168.10.*, 要 求 为 这 两 个 局 域 子 网 配置 DHCP 共享 
网 络 ， 同 时 为 这 两 个 网 段 的 主机 动态 分 配 IP 地 址 。192.168.10.* 子 网 的 动态 IP 范围 限制 为 


192.168.10. AE 168.10.33, IP 的 预 设 有 效 期 同样 是 1 天 ， 最 长 为 3 天 。DCHP 共享 网 络 
的 拓扑 示意 图 如 图 15-16 所 示 。 
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A 15-16 DHCP 共享 网 络 拓扑 图 
※ 技 术 要 领 


(1) Webmin 配置 DHCP 服务 的 子 网 。 
(2) Webmin 配置 DHCP 服务 的 主机 。 
(3) Webmin 配置 DHCP 共享 网 络 。 


从 第 6 章 “DHCP 服务 器 的 配置 与 架设 ”的 介绍 知道 , DHCP 服务 用 于 自动 将 网 络 参数 


“Ms 


s Linux 服务 器 架设 与 管理 


(如 下 地址、 子 网 掩 码 、 默 认 网 关 、DNS 地 址 等 ) 正 确 地 分 配给 网 络 中 的 每 台 计算 机 ， 使 客 

户 端 计算 机 在 开机 时 就 自动 设 定好 相关 网 络 参 数值 .本 节 讲 述 如 何 使 用 Webmin 图 形 化 配置 

DHCP 服务 .Webmin 是 在 DHCP 服务 安装 好 的 基础 上 提供 图 形 化 的 配置 和 启动 功能 , DHCP 

服务 的 安装 可 参考 第 6 章 的 论述 ， 本 节 从 DHO 服务 安装 成 功 的 基础 上 展开 论述 。 

Q 在 Webmin 左 仙 菜单 区 域 选 择 Servers 一 DHCP Server 命令 ， 弹 出 如 图 15-17 所 示 的 DHCP 
服务 器 配置 窗口 ， 其 中 包括 “ 子 网 和 共享 网 络 ” 和 “主机 和 主机 组 ”两 类 配置 。 
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15-17 DHCP 服务 器 配置 窗口 


Q 在 DHCP 服务 器 配置 窗口 中 选择 【增加 一 个 新 的 子 网 】 命 令 ， 如 图 15-17 标注 部 分 所 示 ， 
弹出 如 图 15-18 所 示 的 【创建 子 网 】 窗 口 。 场景 呈现 中 要 求 的 局 域 网 段 是 172.18.12.*， 因 此 
【网 络 地 址 】 文 本 框 设 为 172.18.12.0，【 网 络 掩 码 】〗 文 本 框 设 为 255.255.255.0，【 地 址 范 
围 】 文 本 框 设 为 172.18.12.100-172.18.12.240，【 默认 租赁 时 间 】 文 本 框 按照 要 求 设 为 1 天 ， 
即 86400 秒 ，【 最 大 租赁 时 间 】 文 本 框 设 为 3 天 ， 即 259200 秒 。 其 他 都 采用 默认 设置 。 单 
击 【新 建 】 按 钮 创建 子 网 ， 成 功 后 在 DCHP 服务 器 配置 窗口 出 现 子 网 图 标 ， 如 图 15-19 标 
注 部 分 所 示 ， 名 字 为 172.18.12.0， 单 击 可 以 查看 其 配置 参数 ， 并 可 以 进入 编辑 模式 修改 其 
配置 参数 。 单 击 Delete-Selected 按钮 可 以 删除 选中 的 子 网 。 
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E 15-19 创建 子 网 成 功 


© 在 DHCP 配置 窗口 下 方 选择 【增加 一 个 新 的 主机 】 命 令 ， 弹 出 如 图 15-20 所 示 的 创建 主机 


窗口 。 场 景 呈 现 中 要 求 主机 名 为 seu-06558c4aba4， 将 其 输入 【主机 名 】 文 本 框 中 ; 【硬件 
地 址 】〗 文 本 框 中 输入 这 人 台 主机 的 MAC 地 址 ， 这 个 参数 不 能 输 错 ， 因 为 DHCP 正 是 将 他 地 
址 与 MAC 地 址 相 绑 定 的 。【 被 指定 的 主机 】 文 本 框 中 输入 所 创建 的 172.18.12.0 子 网 ， 表 
示 将 此 主机 加 入 到 这 个 子 网 中 ; 【固定 的 他 地 址 ] 文 本 框 按照 场景 呈现 设 为 172.18.12.140， 
表示 该 主机 总 是 获得 该 他 地 址 。 单 击 【保存 】〗 按 钮 ， 创 建 该 主机 ， 成 功 后 在 DCHP 服务 器 
配置 窗口 下 方 出 现 主机 图 标 ， 如 图 15-21 标注 部 分 所 示 ， 名 字 为 seu-06558c4aba4。 
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15-20 创建 主机 


由 于 实际 情况 中 ， 公 司 内 部 常常 存在 多 个 网 段 的 局 域 子 网 ， 每 个 子 网 都 需要 一 个 DHCP 服 
务 器 为 其 动态 分 配 IP， 为 了 节约 资源 ， 通 常 利用 一 台 多 网 卡 的 主机 同时 作为 不 同 的 局 域 子 
网 DHCP 服务 器 ， 这 就 是 DHCP 共享 网 络 存在 的 意义 。 
按照 步骤 (2) 所 演示 的 那样 再 创建 一 个 192.168.10.0 的 子 网 ， 将 IP 范围 设 为 192.168.10.1 一 
192.168.10.33, IP 的 预 设 有 效 期 设 为 1 天 ， 最 长 为 3 天。 
接着 ， 选 择 【 增 加 一 个 新 的 共享 网 络 】 命 令 ， 弹 出 如 图 15-22 所 示 的 创建 共享 网 络 的 配 
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。【 网 络 名 】 文 本 框 设 为 Two-SubNet， 设 置 租赁 时 间 为 1 天 、3 天 。【 本 共享 网 络 中 


“3 
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的 子 网 ] 文 本 框 已 经 将 所 创建 的 两 个 子 网 加 入 其 中 , 如 图 15-22 标注 部 分 所 示 。 单 


按钮 创建 共享 网 络 ， 成 功 后 出 现 共 享 网 络 图 标 ， 如 图 15-23 所 示 。 


B 主机 和 主机 组 
显示 主机 和 组 通过 : (S ccs 名称 硬件 地 址 下 地 址 


Select all. | Invert selection. | 增加 一 个 新 的 主机 | 增加 一 个 新 的 主机 组 


seu-06558c4ab34 


Select all. | Invert selection. | 增加 一 个 新 的 主机 | 增加 一 个 新 的 主机 组 


图 15-21 创建 主机 成 功 
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D 子 网 和 共享 网 络 


Select all, | Invert selection, | 增加 一 个 新 的 子 网 | 增加 一 个 新 的 共享 网 络 
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Select all. | Invert selection. | 增加 一 个 新 的 子 网 | 增加 一 个 新 的 共享 网 络 


Delete Selected 


图 15-23 创建 共享 网 络 成 功 


.314 。 


* $815 & 使 用 Webmin 图 形 化 配置 Linux 服务 器 = 
四 点 评 与 拓展 : 作为 DHCP 共享 网 络 的 服务 器 必须 是 多 网 卡 的 ， 每 块 网 卡 接 入 一 个 
局 域 子 网 ， 具 有 该 局 域 网 段 内 的 IP 地 址 ， 如 拓扑 图 15-16 示例 的 一 样 ，Webmin 仅仅 是 在 底 
层 网 络 架 设 好 的 基础 上 ， 对 DHCP 子 网 和 共享 网 络 完成 上 层 的 配置 工作 。 


154 使 用 Webmin 配置 Samba 服务 


应 用 实例 导航 一 一 利用 Webmin 架设 Samba 服务 器 


※ 场 景 呈现 


A 公司 利用 Webmin 配置 Samba 服务 器 ， 将 /home/sharing 目录 开放 给 所 有 主机 (包括 
Linux, Windows XP) 共 享 ，Samba 服务 器 登录 用 户 是 系统 用 户 tian， 并 开放 tian 的 根 目录 。 


KAREM 


(1) 利用 Webmin 配置 Samba 服务 器 端 。 
(2) 利用 Webmin 设 定 Samba 服务 用 户 。 


从 第 13 章 “Samba 服务 器 的 配置 与 架设 ”的 介绍 知道 ，Samba 服务 用 于 实现 Linux 服 
务 器 和 Windows 客户 端的 目录 共享 。 本 节 主 要 讲述 如 何在 Webmin 图 形 窗口 下 设置 Samba 
服务 ， 详 细 配置 过 程 如 下 。 

o 打开 Webmin 管理 窗口 ， 在 左 侧 菜单 区 域 选 择 Servers ^ Samba Windows File Sharing 命令 ， 

打开 【Samba 共享 管理 器 〗 窗 口 ， 显 示 出 【全 局 配置 〗 区 域 窗口 ， 如 图 15-24 所 示 。 如 果 以 

前 没有 配置 过 Samba 服务 ， 则 按 如 下 步骤 进行 配置 。 
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Æ 15-24 设置 Samba 服务 窗口 


© 单 击 【 全 局 配置 】 中 的 【Windows 网 络 】 图 标 , 打开 【Windows 网 络 选项 】 窗 口 ， 如 图 15-25 
所 示 。 在 【工作 组 】 文 本 框 中 输入 工作 组 名 MSHOME， 此 参数 最 为 重要 ， 需 要 与 Windows 
中 的 工作 组 名 称 一 致 。 如 何 查看 Windows 的 工作 组 在 第 13 章 已 经 介绍 过 ， 在 此 不 再 茜 述 。 
其 他 参数 使 用 默认 配置 即 可 ， 如 在 【WINS 模式 〗】 选 项 区 选择 【没有 任何 一 个 】 单 选 按钮 ， 
在 【服务 器 描述】 文本 框 中 输入 MSHOME Samba Server 等 ， 最 后 单 击 【保存 】 按 钮 保存 全 
局 参数 设置 。 
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15-25 Windows 网 络 全 局 参数 的 设置 


© 单 击 Samba Users 区 域 中 的 【将 UNIX 用 户 转换 为 Samba 用 户 】 图 标 ， 如 图 15-26 所 示 ， 进 
行 转换 用 户 的 配置 如 图 15-27 所 示 ， 打 开 【 转 换 用 户 】〗 页 面 后 ， 单 击 【 转 换 用 户 】 按 钮 弹出 
【选择 多 个 用 户 〗 对 话 框 ， 此 对 话 框 列 出 了 Linux 中 的 所 有 系统 用 户 ， 本 例 我 们 选择 用 户 
tian， 并 单 击 【 确 定 〗】 按 钮 ， 就 完成 了 tian 用 户 的 转换 。 
若 要 修改 Samba 用 户 密码 及 其 他 信息 ， 单 击 Samba Users 区 域 中 的 【编辑 Samba Jf P fuu 
令 】 图 标 ， 然 后 选择 需要 编辑 的 Samba 用 户 ， 此 处 选择 tian 用 户 ， 弹 出 如 图 15-28 所 示 的 
【编辑 Samba 用 户 】 窗 口 ， 可 以 方便 地 对 用 户 tian 的 相关 信息 进行 编辑 ， 最 后 单 击 【保存 】 
按钮 完成 编辑 。 
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IUMNOBEP. CARED: ORKO 


E oenas 
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编辑 Samba 用 户 
CEXTTSEJ 
acios JC 
口令 o 当前 口令 omue 本 
用 户 连 顺 S game 

DXwu* 

Ceu 

C ferit 
[Cii] (mij 
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Q 在 【Samba 共享 管理 器 〗 窗 口中 单 击 上 方 的 【创建 新 的 文件 共享 】 命 令 ， 如 图 15-29 所 示 ， 


打开 【创建 文件 共享 】 窗 口 ， 如 图 15-30 所 示 。 在 【共享 名 】〗】 区 域内 ， 选 择 文本 框 前 的 单 选 
按钮 。 单 击 【共享 的 目录 】 后 的 【…】 浏 览 按钮 ， 即 弹出 【选择 目录 】〗 对 话 框 ， 在 目录 列 
表 选 中 /home/sharing 目录 , 单 击 OK 完成 共享 目录 本 地 路 径 的 设置 . 在 “Automatically create 
directory?” 选 项 区 ， 选 中 【是 】 单 选 按钮 ， 在 Create with owner 后 的 文本 框 内 输入 账户 名 
root， 以 便 让 程序 以 用 户 root 的 身份 创建 目录 sharing。 其 他 项 采用 默认 设置 ， 单 击 【 新 建 】 
按钮 创建 新 的 共享 目录 。 返回 如 图 15-31 所 示 的 共享 列表 , 在 共享 目录 列表 中 可 以 看 到 新 创 
建 的 共享 目录 /home/sharing 以 public 的 方式 进行 共享 。 


Select sl | Invert solecten (restes Janeane 打印 机 共事 | 创建 新 的 副本 | 查看 所 有 的 渤 接 


yu 安全 
Dw LILALIII 所 有 已 知 用 户 可 以 并/ 写 
[an prrturs BIBT 共有 已 知 用 户 可 打印 至 | 
Solect 沁 新 的 文件 共享 | 创建 新 的 亲 印 机 共识 | 创建 插 的 天 本 | DEMAS 


15-29 Samba 共享 管理 服务 窗口 


创建 文件 共享 0 
FE 


ETE 


55H =) 
Automatically croato directory? © 是 O 7 Croate with ownor ost d a- 
可 用 ? O4OF 可 浏览 ? OOR nne imr 
EGET n TT 
ta) 
PET 
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创建 新 的 打印 机 共享 | 创建 新 的 副本 | 查看 所 有 的 连接 


Select all. | Invert selection. | 创建 新 的 文件 共享 
名 路 径 安全 
E] homes LLLJRIIJ 所 有 已 知 用 户 只 读 
D printers AAHON 所 有 已 知 用 户 可 打印 至 
O public fhome/sharing 都 可 以 读 / 写 


Select all. | Invert selection. | 创建 新 的 文件 共享 | 创建 新 的 打印 机 共享 | 创建 新 的 副本 | 查看 所 有 的 连接 


Delete Selected Shares 


图 15-31 新 建文 件 共享 后 的 共享 目录 列表 


Q 单 击 图 15-24 所 示 【 全 局 配置 】 区 域内 的 Edit Config File 图 标 ， 打 开 编 辑 配置 文件 窗口 ， 
如 图 15-32 所 示 。 在 此 窗口 下 ， 用 户 可 以 编辑 修改 Samba 服务 的 全 局 参数 。 如 设置 Samba 
服务 器 所 属 群 组 名 称 ， 使 用 workgroup=MSHOME 语句 ; 设置 Samba 服务 器 简要 说 明 ， 可 
以 使 用 server string-MSHOME Samba Server 语句 。 


Module 索引 i " 
Edit Config File 
Editing Samba configuration file /etc/sasta/ssb. conf .. 
[f is a comment and is ignored. In this example ve vill use a # E 
for commentry and a ; for parts of the config file that you = 


* may wish to enable 
H 


* NOTE: Whenever you modify this file you should run the command "testpara" 
* to check that you have not made any basic syntactic errors. 
è 


=== Global Settings = 
[global] 


# workgroup = NI-Domain-Name or Vorkgroup-Name 
workgroup = JISHOIE 

| 

# server string is the equivalent of the NT Description field 
server string = MSHOME Samba Server 


# This option is important for security. It allows you to restrict 
* connections to machines which are on your local network. The 

* following example restricts access to two C class networks and 
|ë the “loopback” interface. For more examples of the syntax see 


保存 


k 


15-32 ”编辑 Samba 配置 文件 


15.5 使 用 Webmin 配置 DNS 服务 


应 用 实例 导航 一 一 利用 Webmin 架设 DNS 服务 器 


XREN 
A 公司 利用 Webmin 配置 管理 公司 域 的 DNS 服务 器 ， 所 管理 的 域名 为 seu.edu.cn。 该 
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DNS 服务 器 需要 提供 该 域内 的 所 有 主机 的 正 向 解析 ; 该 域 的 他 范围 为 172.18.12.*, 该 DNS 
服务 器 也 需要 提供 对 这 个 范围 内 的 他 地址 的 反 向 解析 功能 , 并 开放 他 地址 为 211.65.63.146 
的 服务 器 为 从 DNS 服务 器 。 


(1) 利用 Webmin 配置 DNS 服务 器 端 。 
(2) 利用 Webmin 创建 DNS 正 反 解析 数据 库 文件 。 
(3) 利用 Webmin 开放 从 DNS 服务 器 。 


从 第 7 章 “DNS 服务 器 的 配置 与 架设 ”的 介绍 知道 ， 对 DNS 的 配置 包括 对 主 配置 文件 
letc/named.conf 的 设 定 、 正 反 解 域 数据 库 文件 的 创建 等 ， 本 节 主 要 讲述 如 何在 Webmin 图 形 
窗口 下 配置 DNS 服务 器 ， 其 步骤 和 原理 与 第 7 章 中 shell 下 的 配置 一 样 。 

本 节 主 要 讲述 如 何在 图 形 管理 工具 Webmin 下 面 设置 DNS 服务 。 本 节 中 的 例子 以 前 面 
相关 章节 的 部 分 实例 为 基础 ， 具 体 参数 设置 的 作用 可 以 参见 第 7 章 的 介绍 。 

Q 打开 Webmin 管理 窗口 , 在 左 侧 菜单 区 域 选 择 Servers > BIND DNS Serve 命令 , 打开 【BIND 

DNS 服务 器 】 管 理 窗 口 ， 如 图 15-33 所 示 。 

WAKE BIND DNS 服务 器 AES 


BIND version 9.32, uncer doct /vir/manea/ztxoor 


目 全 局 服务 器 选项 
A x 
其 它 DNS 服务 器 ELI WANE 文件 可 目录 主攻 可 传输 地 址 和 拓扑 
= © P 
杂 类 选项 EHATE Dus ie BUER Cluster Slave Servers Setup RNDC 


Edt Cong Fie 


域 
Cinese yon 区 域 | 记过 新 的 短 区 域 | GISERERSIE (LL | Croato cclogsten zono. | 创建 新 的 棋 区 城 | Croato zoncc fom bath fi. 


ABESALAR | 创建 新 的 从 区 十 | 创建 浙 的 短 区 十 | GIESE REI | create celegaton zere. | GIBESBOTRELUR | Croate zones fom both fie 


图 15-33 BIND DNS 服务 器 设置 窗口 


© 单 击 【 现 有 DNS 区 域 】 选 项 区 内 的 【创建 新 的 主 区 域 】 图 标 ， 打 开 【创建 主 区 域 〗】 窗 口 ， 
如 图 15-34 所 示 ， 该 窗口 用 于 创建 正解 区 域 和 反 解 区 域 。 
若 要 创建 正解 区 域 , 则 在 【区 域 类 型 〗 选 项 区 中 选择 【 正 向 (名 称 至 地 址 )】 单 选 按钮 。 在 【 域 
名 /网 络 】〗 后 的 文本 框 中 输入 要 创建 的 主 域名 seu.edu.cn。 在 【记录 文件 〗 选 项 区 中 选择 【 自 
动 】 单 选 按钮 ， 单 击 【…]】 按 钮 ， 即 弹出 【选择 文件 】 对 话 框 ， 选 择 named.seu.edu.cn 文件 
名 ， 即 选择 正解 文件 的 路 径 ， 然 后 单 击 OK 按钮 保存 记录 文件 名 。 在 【 主 服务 器 】 文 本 框 
中 输入 服务 器 主机 名 sec 或 其 IP 地 址 ， 并 需要 设置 刷新 时 间 和 过 期 时 间 ， 最 后 单 击 【新 建 】 
按钮 创建 新 的 正解 区 域 。 
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创建 反 解 区 域 的 方法 与 创建 正解 区 域 基本 相同 ， 在 【区 域 类 型 】 选 项 区 中 选择 【逆向 (地 址 
至 名 称 )】 单 选 按钮 ， 然 后 在 【域名 /网 络 】 文 本 框 中 输入 要 创建 的 反 向 域名 称 172.18.12; 
在 【记录 文件 〗 选 项 区 中 选择 【自动 〗 后 的 单 选 按钮 ， 定 位 到 反 向 解析 数据 库 文件 
named.172.18.12。 其 他 设置 与 创建 主 区 域 的 方法 相同 。 


Module 8 创建 主 区 域 


区 域 类 型 
域名 / 网 络 

记录 文件 

主 服 务 器 

Email 地 址 

使 用 区 域 模板 ? 

| Add reverses for template addresses? 
剧 新 时 间 

过 期 时 间 


[E m9) 


307 asHR Rev 19:42 
42) wm fme neo 
218 osz /mw 11:40 


LE ui 了 


425 osz me uem 


23/4 [mer 12:35 


和 EEE RANE 


aa/ 三 [mos 11:40 


/var/naned/ chroot/var/naned/ naned seu. edu. cn 


图 15-34 ”创建 主 区 域 


分 别 创建 以 上 的 正解 区 域 和 反 解 区 域 后 , 返回 到 如 图 15-35 所 示 的 区 域 列表 , 则 会 看 到 新 创 
建 的 172.18.12 和 seu.edu.cn 区 域 文件 。 


DANH DNS 区 域 


创建 新 的 主 区 域 | 创建 新 的 从 区 域 | 创建 新 的 短 区 域 | 训 建 新 的 正 向 区 域 | Crean delegation zone. | 创建 新 的 根 区 域 | Create zones fom batch fie 


创建 新 的 主 区 域 | MES 到 区 域 | 创建 新 的 正 向 区 域 | Croat delegation zono. | 创建 新 的 根 区 域 | Croato zones from batch filo, 


15-35 ”完成 新 建 后 的 区 域 列表 


© 单 击 seu.edu.cn 图 标 ,打开 【编辑 主 区域 】 窗 口 ， 如 图 15-36 所 示 。 单 击 【 地 址 】 图 标 ， 打 
开 【 地 址 个 记录 】 窗 口 ， 如 图 15-37 所 示 ， 在 此 可 以 编辑 主机 地 址 名 称 和 IP 地 址 的 映射 表 。 
【编辑 主 区 域 】 窗 口中 的 【命名 服务 器 】 提 供 了 设置 从 DNS 服务 器 的 功能 。 单 击 【命名 服 
务 器 】 图 标 ， 打 开 如 图 15-38 所 示 的 【命名 服务 器 个 记录 】 窗 口 ， 在 此 可 以 添加 和 删除 从 
DNS 服务 器 地 址 。 
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Module R5] 编辑 主 区 域 
seu.edu.cn 


名 称 别名 四 BERZE O 
74 
Sonder Permited From (0) SpA 0) 
RAAU 过 向 地 址 四 fEQG Bii v) 
ex e» 
AA 新 有 记录 关 型 ©) 


15-36 DNS 编辑 主 区 域 窗口 


— 地 址 个 记录 


在 seueducn 中 


aw ~ | MANOBRO LC 
e | i=] 
BARW? © ORUE) OF e) 


(72.812.178 
723812181 


17218.1279 
BA anme 


Bion 
15-37 ”主机 地 址 名 称 和 IP 地 址 的 映射 表 


Module #31 命名 服务 器 个 记录 
在 seu.edu.cn 中 


区 域名 | 存活 时 间 o 默认 O * m 
命名 服务 器 | (绝对 名 称 的 结尾 必须 是 ) 


3g 


图 15-38 编辑 从 DNS 服务 器 记录 


O 【编辑 主 区域 ] 窗 口 下 方 的 菜单 提供 了 对 所 创建 的 DNS 区 域 的 编辑 功能 ,菜单 内 容 如 图 15-39 
所 示 。 单 击 【 编 辑 记 录 文 件 〗 图 标 ， 出 现 如 图 15-40 所 示 的 【编辑 记录 文件 〗 窗 口 ， 窗 口上 
方 显示 的 /var/named/named.seu.edu.cn 实际 上 是 正 向 解析 数据 库 文件 在 chroot 中 的 路 径 ， 这 
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也 正 是 choot 的 作用 所 在 。 从 第 6 章 的 介绍 中 ， 我 们 知道 named.seu.edu.cn 的 真实 路 径 是 
/var/named/chroot/var/named, 利用 【编辑 记录 文件 〗 窗 口 就 可 以 方便 地 更 改正 向 解析 数据 库 
文件 的 内 容 。 


EREDE 
Etnos E. 
15-39 ”编辑 主 区 域 设置 窗口 
Module RSI 编辑 记录 文件 
[var/named/named.seu.edu.cn 


您 可 以 在 该 表单 上 手工 编辑 DNS 记录 文件 /wx/mned/manea seu edu cn。 Webmin 不 提供 语法 检查 ， 


[STIL — 600 
(6 IN SOA seugridi.seu.edu.cn. zawu.seu.edu.cn. ( 2007101801 28800 14400 720000 


86400 
n IN NS seugrid).seu edu. 
IN NS — ces. 

seugr: Hi Sectre-TTO 

cesp IN A 211.65.63,146 

seugrid2 IN A 172. 18. 12. 178 

seugridl IN A 172. 18. 12. 181 

L xj 

mm JE) 


15-40 ”编辑 var/named/named.seu.edu.cn 文件 


若 单 击 【编辑 区 域 参 数 〗 图 标 ， 则 将 打开 【区 域 参数 〗 窗 口 ， 如 图 15-41 所 示 ， 在 这 里 可 以 
修改 主 服 务 器 名 称 ， 管 理 员 E-mail 地 址 ， 以 及 其 他 诸如 TTL 等 SOA 资源 记录 的 选项 参数 ， 
最 后 单 击 【保存 】 按 钮 保存 所 有 的 区 域 参 数 设置 。【 编 辑 主 区域 】 窗 口 下 方 的 【编辑 区 域 
选项 】 图 标 用 于 开放 从 DNS 服务 器 ， 单 击 后 出 现 如 图 15-42 所 示 的 【区 域 选 项 】 窗 口 ， 其 
中 【允许 传输 来 自 ..…】 文 本 框 里 输入 从 DNS 服务 器 地 址 ， 本 例 为 211.65.63.146， 表 示 开 放 
与 DNS 从 服务 器 之 间 的 传输 文件 的 权限 ， 单 击 【 保 存 】 按 钮 保存 设置 。 

Q 在 图 15-33 中 【全 局 服务 器 选项 区 域内 ， 单 击 【 转 发 和 传输 〗 图 标 ， 打 开 【全 域 转发 和 
区 域 传输 选项 】 窗 口 ， 如 图 15-43 所 示 。 在 【转发 查询 到 服务 器 】 文 本 框 的 IP address 列 中 
输入 需要 转发 到 的 DNS 服务 器 地 址 202.119.24.12 和 202.119.24.18. 其 他 选项 设置 为 [ 默认】 
单 击 【 保 存 】 按 钮 保存 设置 。 设 置 完成 后 就 实现 了 这 样 的 功能 : 缓存 服务 器 首先 将 查询 转 
发 给 第 一 台 DNS 服务 器 ， 如 果 第 一 台 无 应 答 ， 则 将 查询 转发 给 第 二 台 DNS 服务 器 ， 依 次 
类 推 ， 直 到 接收 到 来 自 DNS 服务 器 的 确定 应 答 。 
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Medie 索引 区 域 参数 


主 服 务 器 Email 地址 | 
asa E PREAH 14400 和 vw 
过 期 时 间 T20000 默认 的 活动 时 间 [86400 P x 
|Dufaik times te ia for rucords omo s a E 
pe) 
15-41 编辑 主 DNS 服务 器 的 区 域 参数 
Module 索引 区 域 选项 
seu.edu.cn 
ELI 
是 否 检 可 名称? Of OAM OE ORU 是 否 通知 从 区 域 的 更 改 ? 
AES. | 1 REB. 
P äl 
EDELE | | 也 通知 从 区 域 … 
al 到 
mE] [| 


15-42 开放 从 DNS 服务 器 


全 域 转发 和 区 域 传输 选项 
转发 查询 到 服务 器 


202. 119. 24. 12 ] 
(202. 119. 24. 18 ] 
Dum | 
] 
I 1] 


者 转发 驱动 程序 不 响应 则 直接 查找 O 是 O 否 @ 默认 


最 大 区 域 传输 时 间 osuo, lar 

区 域 传输 格式 O 每 次 一 个 〇 多 个 @ 默认 
最 大 并 发 区 域 传输 数 ORU O ] 

保存 


1543 【全 域 转发 和 区 域 传输 选项 】 窗 口 


Q 在 图 15-33 所 示 的 【BIND DNS 服务 器 】 管 理 窗口 中 的 【 现 有 DNS 区 域 】 区 域内 ， 单 击 【 创 
建新 的 从 区 域 〗 图 标 ， 打 开 【创建 从 区 域 〗 窗 口 ， 如 图 15-44 所 示 。 在 【区 域 类 型 】〗 选 项 
区 中 选择 【 正 向 解析 (名 称 至 地 址 )】〗 单 选 按钮 。 在 【区 域名 /网 络 】〗 文 本 框 中 输入 区 域名 
seu.edu.cn.second。 在 【记录 文件 〗 选 项 区 中 选择 【自动 〗 后 的 单 选 按 钮 ， 单 击 【…】 按 钮 
选择 记录 文件 路 径 /var/named/chroot/var/named/named.172.18.12。 在 【 主 服务 器 】 文 本 框 中 输 
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入 该 域名 所 在 的 DNS 服务 器 TP 地 址 172.18.12.179. 最 后 单 击 【 新 建 〗 按钮 创建 新 的 从 DNS 
服务 器 . 创建 反 向 解析 从 DNS 服务 器 的 方法 与 正 向 解析 的 方法 基本 相同 ， 在 此 不 再 赣 述 。 


Modus 8 创建 从 区 域 


| 新建 从 区 域 选项 


区 域 类 型 加 正 向 解析 名称 至 地 址 ) OWANI GHEZZI) 
区 域名 / 网 络 区 

记录 文件 
主 服务 器 


Baman ORU ORA 


(tim) 
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15.6 使 用 Webmin 配置 Web 服务 


应 用 实例 导航 一 一 利用 Webmin 架设 Web 服务 器 


※ 场 景 呈现 


A 公司 利用 Webmin 配置 Apache Web 服务 器 ， 将 Web 服务 器 的 根 目录 设 为 
/Var/www/html， 并 创建 几 个 虚拟 目录 ， 设 定 其 中 的 一 台 虚 拟 主机 ，IP 为 192.168.10.11, H 


录 为 /ust/www/web。 
※ 技 术 要 领 


(1) 利用 Webmin 设置 Apache Web 服务 器 的 根 目录 。 
(2) 利用 Webmin 创建 Apache Web 虚拟 主机 。 


本 节 讲 述 如 何在 图 形 管理 工具 Webmin 下 面 配 置 Apache Web 服务 器 ， 并 实现 虚拟 主机 


功能 ， 有 具体 步骤 如 下 。 
o 打开 Webmin 管理 窗口 ， 在 左 侧 菜单 区 域 选择 Servers Apache Webserver 命令 ， 


TF 


[Apache WEB 服务 器 】 管 理 窗口 ， 如 图 15-45 所 示 。 在 此 主 窗口 下 对 Apache 服务 器 进行 


配置 。 


© 首先 , 介绍 如 何在 Webmin 下 设置 根 目录 ， 单 击 【默认 服务 器 】 图 标 ， 如 图 15-45 所 示 ， 打 
开 【 虚 拟 服务 器 选项 〗 窗 口 ， 如 图 15-46 所 示 。 单 击 【文档 选项 】 图 标 ， 打 开 【 文 档 选项 】 
窗口 ， 如 图 15-47 所 示 。 在 【文档 根 目录 】 选 项 区 中 选择 【上 默认】 后 的 单 选 按钮 ， 单 击 【…】 
按钮 选择 新 目录 路 径 /var/www/html。 在 【用 户 www 目录 】 部 分 设置 目录 路 径 的 访问 权限 ， 
这 里 选择 【默认 】 后 的 单 选 按钮 ， 在 其 后 的 文本 框 中 输入 disable， 然 后 再 选中 【所 有 用 户 
均 可 访问 】 前 的 单 选 按钮 。 在 【 按 目录 配置 的 选项 文件 】 选 项 区 中 选择 【默认 】 后 的 单 选 按 
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钮 ， 在 其 后 的 文本 框 中 输入 .htaccess。 单 击 【 保 存 】〗 按 钮 保存 设置 。 


RR Apache WEB 服 务 器 «t pia 
aate HE 220 Vx 


服务 器 名 称 seug dh sei eda 
AR ERE fein 


处 理 请 口 6 到 地 址 1rz le 1z 17: 的 新 有 请 求 > 


地 址 172 :8:2 175 服务 器 各 称 seug dd3 seu edun 
端口 so 概 文件 vic teret 

站 理 端口 343 上 未 被 其 他 虚 所 服务 问 处 理 的 所 有 请 交 - 

地 址 任何 服务 器 各 称 eg Seien 
REL ARSCHE arfwwwhiml 


Doleta Selected Servers. 
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Moduls 5| 虚拟 服务 器 选项 应 用 修 址 
为 默认 服务 器 


E Virtual Server Options 


[A A [2 
进程 和 限度 网 络 和 地 址 Hex [nd 
% el :/ s 
9 
dps APNE LETT iai 程序 GEZEI 
ftam sad PHP LESE ne 
L 显示 指令 
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Module 索引 文档 xk 项 
为 默认 服务 器 

文档 根 目录 O RU O [varw Ld 
用 户 www 目录 ORU O [disable NH 

© 所 有 用 户 均 可 访问 
| 所 有 用 户 除了 | E 
| © Only users tJ 
| 按 目录 配置 的 选项 文件 O RU O [htaccess 


图 15-47 设置 默认 服务 器 主 目录 路 径 
Q 对 根 目 录 设 置 完毕 后 , 需要 设置 Web 服务 器 的 主机 名 . 单 击 【 网 络 和 地 址 】 图 标 , 打开 【网 
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络 和 地 址 】 设 置 窗口 ， 如 图 15-48 所 示 。 在 【服务 器 管理 员 电子 邮件 地 址 】 区 域 选择 【无 】 
后 的 单 选 按钮 ， 在 其 后 的 文本 框 中 输入 管理 员 的 E-mail 地 址 。 在 【服务 器 主机 名 称 〗 区 域 
选择 【自动 〗 后 的 单 选 按钮 ， 在 其 后 的 文本 框 中 输入 服务 器 域名 seugrid3.seu.edu.cn， 如 果 
没有 域名 则 输入 服务 器 IP 地 址 。 单 击 【 保 存 】 按 钮 ， 保 存 设置 . 


vodse $3) Pe mom 
sd 网 络 和 地 址 人 
为 默认 服务 器 
查询 主机 名 称 O 8 Os& ORAR ORA 执行 RFC1413 用 户 查 询 。 口 证 O 吾 cor | 
[LLLI ME 服务 器 于 机 名 称 O Beh O [euriad seu a en 
BANLHRRHENAK ©80OFORL 
保存 
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Q 除了 根 目 录 以 外 ，Apache Web 服务 器 还 灵活 支持 虚拟 目录 ， 所 谓 虚 拟 目 录 ， 是 指 Web 服 
务 器 上 显示 目录 的 路 径 并 非 实际 的 物理 路 径 ， 而 是 通过 映射 表 寻找 到 物理 路 径 进行 定位 。 
那么 如 何 设 定 Web 服务 器 的 虚拟 目录 呢 ? 单 击 【 别 名 和 重 定向 〗】 图 标 ， 打 开 【 别 名 和 重 定 
向 〗 窗 口 ， 如 图 15-49 所 示 。 在 【文档 目录 别名 】 文 本 框 的 列表 中 输入 要 设置 的 虚拟 目录 。 
在 【从 】 一 列 中 输入 虚拟 目录 路 径 ， 在 【到 】 一 列 中 输入 对 应 的 物理 路 径 。 图 中 分 别 创建 
了 3 个 虚拟 目录 : 名 为 /icons 的 虚拟 目录 及 其 对 应 物理 路 径 /Var/www/icons; 名 为 /error 的 虚 
拟 目 录 及 其 对 应 物理 路 径 /Var/www/error; 名 为 /usage 的 虚拟 目录 及 其 对 应 物理 路 径 
Avarwww/usag。 单 击 【 保 存 〗 按 钮 保存 设置 。 


Module 81 别名 和 重 定向 
为 默认 服务 器 


为 默认 服务 器 的 别名 和 重 定向 


| 文档 目录 别名 
J/icons/ | /var/www/icons/ 


/error/ 


/usage 
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© 在 安全 控制 方面 ，Apache Web 服务 器 为 根 目录 和 虚拟 目录 提供 了 全 面 的 访问 控制 设 定 ， 我 
们 以 根 目录 为 例 来 说 明 。 单 击 【 默 认 服 务 器 〗 图 标 ， 打 开 如 图 15-50 所 示 的 窗口 。 单 击 【 按 
目录 选项 〗 区 域内 要 设置 权限 的 目录 Directory/var/www/html， 打 开 【 按 目录 选项 】 窗 口 ， 
如 图 15-51 所 示 。 在 【 按 目录 选项 】 区 域内 ， 单 击 【访问 控制 〗 图 标 ， 打 开 【 访 问 控制 〗 设 
置 窗口 ， 在 【限制 访问 〗】 区 域 按 图 15-52 所 示 进 行 各 种 相关 访问 控制 参数 的 设置 ， 可 以 对 
下 地址 、 子 网 段 及 主机 名 进行 允许 或 拒绝 访问 设置 。 最 后 单 击 【保存 】〗 按 钮 保存 设置 。 
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PEES 
UN NN E. CUM. 
图 15-50 设置 默认 服务 器 目录 选项 
| REREN MENER 
为 在 默认 服务 器 上 的 Directory jim 
[E EI] 
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15-51 设置 指定 目录 选项 


| 限制 访问 


Ly ~ 


15-52 设置 指定 目录 访问 控制 


O 场景 要 求 中 需要 创建 一 个 他 为 192.168.10.11 的 虚拟 主机 , 所 谓 虚 拟 主机 是 指使 用 一 台 物 理 
机 器 ， 充 当 多 个 IP 地 址 (或 主机 名 ) 的 服务 器 ， 例 如 ， 本 例 中 由 Webmin 控制 的 这 台 主 机 的 
真实 IP 为 172.18.12.179， 但 是 它 通 过 虚拟 主机 的 设 定 ， 又 可 以 充当 IP 为 192.168.10.11 的 
Web 服务 器 。 使 用 虚拟 主机 的 好 处 在 于 ， 一 些小 规模 的 网 站 ， 通 过 跟 其 他 网 站 共享 同一 台 
物理 机 器 ， 可 以 减少 系统 的 运行 成 本 ， 并 且 可 以 减少 管理 的 难度 。 

下 面 介绍 如 何 设 定 虚拟 主机 。 单 击 图 15-45 中 【Apache WEB 服务 器 】 管 理 窗口 下 的 Create 
virtual host 标签 ， 打 开 【 创 建新 的 虚拟 服务 器 】〗 窗 口 ， 如 图 15-53 所 示 。 在 【处 理 到 地 址 的 
连接 】〗 选 项 区 中 选择 【指定 地 址 .…】 单 选 按钮 ， 在 其 后 的 文本 框 中 输入 虚拟 主机 P 地 址 
192.168.10.11。 在 【端口 】 选 项 区 中 选择 【默认 】〗 单 选 按 钮 。 在 【 根 文件 】〗 文 本 框 中 输入 虚 
拟 主机 主 目录 /usr/www/web. 在 【服务 器 名 称 】 选 项 区 中 选择 [自动] 单 选 按钮 . 单 击 Create Now 
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按钮 就 可 以 创建 新 的 虚拟 主机 。 


需要 注意 的 是 ， 每 个 不 同 的 虚拟 主机 对 应 不 同 的 虚拟 主 目录 ， 其 中 可 以 存放 架设 网 站 的 一 
些 必需 文件 ， 网 络 管理 员 当然 仍然 可 以 按照 步骤 (5) 中 的 介绍 进行 访问 控制 。 


2 用 修改 
WARE Apache WEB 服 务 器 和 
apate MEE 220 搜索 文档 
DD ET ceste virtual host 
处 理 到 地 址 的 连接 O Rug 
O 指证 
aa dii RERO 
E) 监听 地 址 (如果 需要 约 话 ) 
n @ 黑 人 O 任 柯 O[ | 
根 文件 [ss/ rm/ vet] EJ 
E Allow access to this directory 
服务 器 名 称 @ 自 动 O[ 
将 虚拟 服务 器 新 增 到 文件 O HE nt cont 文件 
O 选择 的 文件 .| J&J 
| 复制 指令 自 [Pane sj 


图 15-53 创建 虚拟 主机 


15.7 使 用 Webmin 配置 NFS 服务 


本 节 讲 述 利 用 Webmin 配置 NFS 服务 ， 详 细 配 置 过 程 如 下 。 

© 在 Webmin 管理 窗口 中 ， 单 击 目录 区 中 Networking 一 NFS Exports 选项 ， 弹 出 如 图 15-54 所 
示 的 NFS 配置 窗口 . 353€ NFS fo NIS 服务 器 的 配置 与 应 用 ”曾经 介绍 过 NFS 主 配置 文 
件 是 /ete/exports， 其 中 设 定 了 共享 目录 的 路 径 、 属 性 、 访 问 权限 等 ，Webmin 的 NFS 管理 首 
页 列 出 了 该 服务 器 所 开放 的 共享 目录 及 其 权限 ， 并 且 提 供 了 对 所 开放 的 共享 目录 激活 和 关 
闭 的 功能 。 比 如 我 们 选中 图 15-54 中 的 /home/upload 目录 , 单 击 Disable Selected 按钮 可 以 将 
其 设置 为 “不 活 ”， 即 不 对 外 开放 ， 单 击 Enable Selected 按钮 则 可 以 将 不 活动 的 目录 再 次 
激活 ，“ 不 活 ” 的 共享 目录 如 图 15-55 所 示 。 


ced -m NFS 输 出 ice 
© srom 
ss, toic! oa | vert ooron | 是 芷 一 个 新 的 输出 


can 
CP mi | m 
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NFS% i 


Select al. | Invertselecton. | 增加 一 个 新 的 篇 出 


n. | 增加 一 个 新 的 和 


Delete Selsctei Exports. 


Disable Selects —][  Ensble Selectei 


图 15-55 将 共享 目录 设 为 “不 活 ” 


O 在 NFS 配置 窗口 中 ， 单 击 【 增 加 一 个 新 的 输出 〗】 选 项 ， 弹 出 如 图 15-56 所 示 的 新 建 共 享 目 
录 窗 口 ， 在 【要 输出 的 目录 】 对 话 框 输入 所 要 共享 目录 的 路 径 ， 【激活 ? 】 选 项 区 选择 【是 】 
单 选 按 钮 。 在 【IPv4 网 络 】〗】 文 本 框 中 可 以 对 访问 共享 目录 的 客户 端 进 行 权限 设置 ， 比 如 ， 
我 们 需要 将 客户 端 限制 在 内 部 局 域 网 内 ， 则 输入 172.18.12.0， 在 【网 络 掩 码 】〗】 文 本 框 输入 
255.255.255.0， 这 就 说 明 只 有 IP 为 172.18.12.* 的 v4 地 址 才能 访问 该 共享 目录 。 
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15.8 使 用 Webmin 配置 SSH 服务 


本 节 讲 述 如 何 利用 Webmin 配置 SSH 服务 ， 由 于 sshd 进程 默认 安装 ， 因 此 可 以 直接 对 


SSH 服务 进行 配置 。 


Q 在 Webmin 管理 窗口 中 ， 选 择 目录 区 中 Servers 一 SSH Server 选项 ， 弹 出 如 图 15-57 所 示 的 
【SSH 服务 器 】 管 理 窗口 。 可 以 看 到 SSH 管理 器 中 有 【网 络 〗 图 标 ， 单 击 此 图 标 弹出 如 
图 15-58 所 示 的 【网 络 】 设 置 窗口 ，Listen on addresses 设 定 项 用 于 限制 连接 该 SSH 服务 器 
的 客户 端 地址 ，SSH 选择 V2 版 本 ， 其 他 选择 默认 ， 最 后 单 击 【保存 〗 按 钮 保存 设置 。 
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帮助 
Ad SSH 服 务 器 
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图 15-57 SSH 服务 器 设置 窗口 


d $3 网 络 
同 络 选项 
Listen on addresses. 新 有 地 址 O Emered below. 


Bran 

MREP AE RINER? $ t 
Air ce 转发 网? osos8 

um 


Æ 15-58 SSH 网 络 设置 


© SSH 服务 器 的 管理 窗口 中 的 Edit Config Files 图 标 用 于 编辑 SSH 服务 的 主 配置 文件 ， 即 
letc/ssh/sshd config 文件 ， 如 图 15-59 所 示 ， 利 用 它 可 提供 可 视 化 的 文本 编辑 窗口 。 


Module 索引 Edit Config Files 


Edit config file: |/etc/ssh/sshd 


# HostKey for protocol version 1 

$HostKey /etc/ssh/ssh host key 

| HostKeys for protocol version 2 

€HostKey /etc/ssh/ssh host rsa key 

#HostKey /etc/ssh/ssh host dsa key 1 


# Lifetime and size of ephemeral version | server key 
iKeyRegenerationInterval Ih 
(ServerkeyBits T68 


# Logging 

# obsoletes QuietMode and FascistLogging 
|#SyslogFacility AUTH 

SyslogFacility AUTHPRIV 

Loglevel INFO 


# Authentication: 


[#LoginGraceTine 2m * 


图 15-59 编辑 SSH 配置 文件 
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15.9 使 用 Webmin 配置 防火 墙 服务 


应 用 实例 导航 一 利用 Webmin 架设 Linux 防火 墙 


※ 场 景 呈现 


A 公司 利用 Webmin 进行 架设 Linux 防火 墙 , 通过 添加 iptables 的 filter 表 的 规则 实现 默 
认 策 略 的 制定 ， 实 现 对 TCP, UDP 数据 包 各 种 条 件 下 (如 源 、 目 标 IP 地 址 ， 源 、 目 标 端 口 
号 等 ) 的 过 滤 功 能 ， 并 对 某 些 类 型 的 ICMP 数据 包 进行 控制 。 并 通过 对 NAT 表 的 配置 , 将 所 
有 访问 网 关 80 端口 的 他 包 转 发 局 域 网 Web 服务 器 的 8080 端口 。 


(1) 理解 Linux 防火 墙 组 件 iptables 的 原理 和 结构 。 
(2) 利用 Webmin 为 filer 表 和 nat 表 的 各 条 链 添加 规则 。 


从 第 3 章 “Linux 防火 墙 与 NAT 服务 ”的 论述 中 ， 我 们 知道 Linux 防火 墙 通过 iptables 

内 置 的 3 张 表 一 一 filter X., nat 表 和 mangle 表 ， 来 实现 包 过 滤 、 网 络 地 址 转换 和 包 重 构 等 

功能 。Webmin 提供 了 对 这 3 张 表 的 管理 功能 , 下 面 讲述 如 何 通 过 Webmin 管理 和 配置 防火 墙 。 

o 在 Webmin 管理 窗口 ， 选 择 目 录 区 中 Networking Linux Firewall 选项 ， 弹 出 如 图 15-60 所 

示 的 Linux 防火 墙 管理 窗口 ， 该 窗口 默认 显示 filter 表 三 条 链 中 的 规则 ， 可 以 通过 管理 窗口 

上 方 的 Showing IPtables 按钮 切换 iptables 表 . 我 们 可 以 注意 到 , filter 链 的 表格 有 四 个 表 头 ， 

分 别 为 Action. Condition, Move f: Add, 其 中 Action 显示 了 对 报 文 是 接受 还 是 丢弃 ,Condition 

规定 了 对 何 种 条 件 的 报 文 做 Action 中 规定 的 处 理 ，Move 按钮 可 以 改变 链 中 规则 的 顺序 ， 

Add 按钮 用 于 添加 新 规则 。 

O 比如 添加 禁止 客户 机 访问 聊天 网 站 的 规则 ， 只 要 在 如 图 15-61 所 示 FORWARD 链表 格 中 ， 
单 击 Add Rule 按钮 ， 弹 出 添加 规则 窗口 。 其 中 ，Rule Comment 文本 框 记录 该 规则 的 意思 ， 
便于 用 户 理解 ， 无 实际 用 处 ; 首先 在 Action to take 选项 区 中 选择 Drop 单 选 按钮 ， 表示 该 规 
则 是 将 符合 条 件 的 卫 包 丢弃 , 如 图 15-62 所 示 ; 然后 设置 规则 的 条 件 , 在 Destination address 
or network 标签 后 的 下 拉 列 表 框 中 选择 Equals, 后 面 的 文本 框 输 入 所 要 禁止 的 聊天 网 站 的 地 
址 或 了 P， 如 图 15-63 所 示 。 然 后 单 击 【 新 建 〗 按 钮 创建 规则 ， 这 条 规则 的 意思 是 : 所 有 发 
送 到 聊天 网 站 的 IP 包 全 部 丢弃 ， 从 而 达到 禁止 客户 机 访问 聊天 网 站 的 目的 。 
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15-60 Webmin 提供 的 防火 墙 管理 窗口 


Forwarded packets (FORWARD) 


O Drop TF destination is 209.62.21.206 EEN 
E Drop Tf destination is 209.62.21.206 *tiT 
D Drop 1f destination is 209.62.21.206 dtair 
0 Crop Tf destination is 202.17.61.4 #1 +T 
O Drop 1f destination is 216.163.137.3 LEX 

Select all | Invert selector 

Set Default Action Tor Accept — | Delete Selected. Add Rale 


15-61 FORWARD 链 的 表格 


Module 索引 Add Rule 
IChain and action details 
Part of chain Incoming packets (INPUT) il 
Rule comment deny chatting room 
Action to take © Donothing © Accept O Reject O Userspace 
O Exitchan © Log packet © Run chain 
Reject with IOMP type © 默认 O Type icap-netrunreachable 


15-62 为 规则 添加 动作 


Source address or network | «Ignored? jl 


Destination address or network | Equals v wv. chattingroom. com 


15-63 ”为 规则 添加 条 件 
© 再 比如 添加 禁止 子 网 客户 机 使 用 FTP 的 规则 , 还 是 在 FORWARD 链表 格 中 , 单 击 Add Rule 
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按钮 ,弹出 添加 规则 窗口 ,在 Action to take 选项 区 中 选择 Drop 单 选 按钮 ， 如 图 15-64 所 示 。 
在 Source address or network 标签 后 的 下 拉 列 表 框 中 选择 Equals 选项 ， 后 面 的 对 话 框 设 为 全 
部 子 网 主机 ， 即 192.168.10.* 网 段 内 的 所 有 主机 ， 接 着 在 Network protocol 标签 后 的 下 拉 列 
表 框 中 选择 Equals 命令 , 后面 的 协议 类 型 选择 TCP, 再 将 Destination TCP or UDP port 选项 ， 
即 目标 地 址 的 端口 ， 设 为 FIP 的 端口 21， 如 图 15-65 所 示 。 这 样 创建 的 规则 的 意思 就 是 : 
所 有 192.168.10.* 网 段 内 的 主机 发 送 到 21 号 TCP 端口 的 包 全 部 丢弃 ， 从 而 达到 禁止 子 网 客 
户 机 使 用 FTP 的 目的 。 


IChain and action details 


Part of chain Incoming packets (INPUT) 
Rule comment [deny FTH ] 
Action to take 


O Do nothing O Accept © Drop O Reject © Userspace 
O Exitchan O Log packet O Run chain | 
Reject with ICMP type © 默认 O Type|icmp-net-unreachable =| 


15-64 为 禁止 FTP 添加 动作 


Condition details 


Source address or network Equals | [192. 168. 10. 0/24 

Destination address or network ignored» 司 [ 

Incoming interface Ignored» 司 |etho =| 

Dutgoing interface Ignored? w|eno =| 

Fragmentation © Ignored O Is fragmented O Is not fragmented 

Network protocol [Equals 司 [Tcp ~ 

Source TCP or UDP port Ignored? 司 © Porte) | O Port range Ito ] 
Destination TCP or UDP port Equals ~| O Port(s) [21 | O Portrange [3i | 


图 15-65 为 禁止 FTP 添加 条 件 
Q 接着 添加 禁止 ICMP 协议 的 规则 。 还 是 在 FORWARD 链表 格 中 , 单 击 Add Rule 按钮 弹出 
添加 规则 窗口 ， 在 Action to take 选项 区 中 选择 Drop 单 选 按钮 ， 如 图 15-66 所 示 。 然 后 只 要 
在 Network protocol 标签 后 的 下 拉 列 表 框 中 选择 Equals 选项 ， 后 面 的 协议 类 型 选择 ICMP, 
如 图 15-67 所 示 ， 即 可 禁止 ICMP 的 IP 报 文 。 


Part of chain Incoming packets (INPUT) 
Rule comment. [deny ICMP " | 
Action to take 


O Do nothing O Accept © Drop O Reject O userspace 
O Exitchan © Log packet O Run chain | ] 
Reject with ICMP type © BA O Type|icmp-net-unreachable — vw] 


图 15-66 为 禁止 ICMP 添加 动作 
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ICondition details 


Source address or network | Ignored» i 

Destination address or network | «Ignored» ~| 

Incoming interface [Equals Weno — vj 

Outgoing interface [Genoreb “加 [em vw| | 
Fragmentation © Ignored O Is fragmented O Is not fragmented 
Network protocol [Equals 司 | IO ~ 


图 15-67 禁止 ICMP 


© 最 后 讲述 如 何 利 用 NAT 表 实 现 耳 包 的 重 定向 功能 。 比 如 因为 Web 服务 器 的 端口 的 改变 ， 

我 们 需要 将 由 外 部 传 入 端口 为 80 的 他 包 都 重 定向 到 8080 端口 ， 由 第 3 章 的 知识 可 知 ， 这 
条 规则 是 添加 在 NAT X tf] POSTROUTING 链 上 . 在 Webmin 的 防火 墙 设置 的 首页 上 , Show 
IPtables 后 的 下 拉 列 表 框 中 选择 Network address translation (nat) 选 项 ,然后 单 击 Show IPtables 
按钮 , 出 现 NAT 表 三 条 链 的 表格 , 在 POSTROUTING 链 中 单 击 Add Rule 按钮 添加 新 规则 ， 
此 时 需 在 Action to take 选项 区 中 选中 Redirect 单 选 按钮 ， 并 将 Target ports for redirect 设 为 
8080, 即 重 定向 的 目标 端口 , 如 图 15-68 Pros. 在 规则 的 条 件 设置 部 分 , 将 Incoming interface 
文本 框 设 为 Equals、eth1，Destination TCP or UDP port 文本 框 设 为 Equals、80， 如 图 15-69 
所 示 ， 表 示 所 有 目标 为 80 的 从 网 卡 ethl 传 入 的 瑟 包 都 送 到 目标 地 址 是 8080 的 端口 ， 相 当 
于 我 们 在 第 3 章 中 所 添加 的 如 下 规则 : 


iptables-t nat -A PREROUTING -p tcp -i ethl --dport 80 -j REDIRECT -to-ports 


8080 
Part of chain Packets before routing (PREROUTING) 
Rule comment. [Redirect IP packets to Port 80 
Action totale Omonim O aut O qup wr 
O Run chan | 
Target ports for redirect ONU rere) Je 
1Ps and ports for DNAT ORA O Frael v Portrange i ] 
15-68 ”添加 重 定 向 的 动作 
[Condition details 
Source address or network. ] 
Destination address or network u H 
Incoming interface. 
Outgoing interface 
Fragmentation © Ignored O Is fragmented O Is rot fragmented 
Network protocol [Ewas aTe S ] 
Source TCP or UDP port [Sene Port)| — | O Portrarge w[ ] 
Destination TCP or UDP port [Eats LOren ^ |O Portrarge e[ ] 
Source and destination port(s) [Temored> Fj 


15-69 ”添加 重 定向 的 条 件 
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外 点 评 与 拓展 : Webmin 全 面 提供 了 Linux 防火 墙 的 管理 功能 ， 完 整 列 出 了 iptables 
的 3 张 表 中 所 有 链 的 规则 ， 并 可 以 对 其 进行 添加 、 删 除 、 编 辑 等 操作 ， 大 大 简化 了 用 户 对 
防火 墙 的 配置 工作 。 


15.10 使 用 Webmin 配置 MySQL 服务 器 


应 用 实例 导航 一 一 利用 Webmin 架设 MySQL 服务 器 


※ 场 景 呈现 


S 学 校 利 用 Webmin 架设 MySQL 数据 库 服务 器 ， 通 过 Webmin 提供 的 模块 设置 启动 和 
关闭 MySQL 服务 器 ， 然 后 创建 person 数据 库 ， 并 在 其 中 创建 information 表 ， 示 例 性 地 在 
information 表 中 添加 记录 。 

创建 guest 用 户 ， 使 其 在 指定 主机 上 远程 登录 MySQL 数据 库 服务 器 。 


(1) 理解 关系 数据 库 的 构成 。 

(2) 利用 Webmin 进行 MySQL 的 模块 配置 。 

(3) 利用 Webmin 添加 数据 库 、 表 和 记录 。 

(4) 利用 Webmin 进行 MySQL 服务 器 的 用 户 管理 。 


本 节 讲 述 如 何在 图 形 管理 工具 Webmin 下 面 设置 MySQL 服务 , 本 节 中 的 例子 以 前 面相 

关 章 节 的 部 分 实例 为 基础 ， 具 体 参数 设置 的 作用 可 以 参见 相关 章节 的 内 容 。 

o 在 Webmin 管 理 窗口 ,选择 目录 区 中 Networking MySQL Database Server 选项 , 打开 MySQL 
数据 库 服务 器 管理 窗口 。 图 15-70 显示 了 MySQL 服务 器 尚未 启动 的 页 面 ， 如 果 mysqld 3t 
程 已 经 启动 ， 则 将 直接 进入 MySQL 数据 库 的 管理 页 面 。 

© Webmin 默认 配置 是 针对 Fedora 6 初始 安装 的 MySQL 数据 库 的， 如 果 曾 经 重新 安装 过 
MySQL 数据 库 ， 那 么 就 需要 在 Webmin 的 【模块 配置 〗 窗 口 重新 设 定安 装 相关 的 参数 。 
这 里 以 第 11 章 中 所 讲述 的 安装 在 /usr/locaVmysql 目录 下 的 MySQL 为 例 , 单 击 图 15-70 中 的 
【模块 配置 】 按 钮 ， 打 开 System configuration 窗口 ， 如 图 15-71 所 示 。 将 【mysql 命令 的 路 
径 】 文 本 框 仍然 设 为 /usr/bin/mysql， 这 里 设置 的 是 MySQL 数据 库 登 录 命 令 mysql 的 存放 路 
径 ，Webmin 根据 此 设置 找到 MySQL 的 入 口 程序 ， 由 于 不 管 何 种 安装 都 将 MySQL 的 入 口 
程序 复制 在 /usr/bin 目录 下 ， 因 此 此 项 无 需 改 动 。 
需要 注意 到 的 是 【启动 mysql 服务 的 命令 】 文 本 框 的 设置 ， 由 于 MySQL 数据 库 安装 时 没有 
将 启动 命令 复制 到 /usr/bin 目录 下 ， 因 此 单 击 图 15-70 窗口 中 的 【启动 MySQL 服务 器 】 按 
钮 时 会 因为 系统 找 不 到 mysqld 文件 而 无 法 启动 。 解 决 的 一 种 办 法 是 将 mysqld_safe 复制 到 
/ust/bin 下 ， 在 【启动 mysql 服务 的 命令 】 文 本 框 中 写 入 mysqld_safe-user=mysql。 如 果 不 将 
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mysqld safe 复制 到 /usr/bin 目录 下 ， 则 需要 在 【启动 mysql 服务 的 命令 】 文 本 框 中 写 入 
/etc/local/mysql/bin/mysqld_safe --user=mysql &， 其 他 项 按 图 中 所 示 进 行 设 置 。 单 击 【 保 存 】 
按钮 ， 则 将 返回 如 图 15-70 所 示 的 MySQL 服务 器 管理 窗口 ， 单 击 【 启 动 MySQL 服务 器 】 
按钮 就 可 以 启动 MySQL 数据 库 服务 器 了 。 


F Ycbain 1.340 on 
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和 您 的 系统 没有 运行 MySQL - 不 能 检索 数据 库 列表 


(E ESLERE ) APNEA E etere Vinit. arsala start 启 动 系统 上 的 MySQL 数据 库 服务 器 。 只 有 数据 库 启 动 后 ， web 


15-70 MySQL 数据 库 服务 器 设置 窗口 


System configuration 


mysqlshow 命令 的 路 径 /usr/bin/mysqlshow 

mysqladmin 命令 的 路 径 /usr/bin/nysqladnin 

mysql 命令 的 路 径 Lasx/bin/myegi 

Path to mysqldump command /usr/bin/mysqldunp 

Path to mysglimport command f'usr/bin/nysqlimport 

Path to mysqld command © Automatic © ] 


启动 mysql 服务 的 命令 


\/etc/local/nysal/biv/mysald safe —user=n 


停止 mysql 服务 的 命令 © 850 —— 
共享 库 的 目录 路 径 四 无 O| 
Path to MySQL databases directory O None © |/var/lib/mysql 
MySQL host to connect to © ocahostO — 
MySQL port to connect to G Default O | ] 
MySQL socket file © Default O [ 
MySQL configuration file /etc/ny. cnf - 

和 返回 到 索引 


图 15-71 模块 配置 的 设置 


© 启动 MySQL 服务 器 之 后 ， 出 现 如 图 15-72 所 示 窗 口 。 窗 口上 方 显示 了 MySQL 现 有 的 4 个 
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数据 库 名 称 ， 如 图 15-72 中 标注 部 分 所 示 ， 可 以 在 此 处 对 数据 库 表 进行 新 建 、 删 除 和 编辑 操 
ft. 窗口 下 方 提供 了 对 MySQL 服务 器 进行 全 局 设 定 功能 ， 即 设置 MySQL 服务 器 相关 的 全 
局 参数 ， 主 要 是 对 各 种 权限 的 设置 。 


ZRO MMD MO WO IRD MMO LJ 
Q«.Q-2867»5J-e690 $53 783 

LODI TCETCETUE DLE 
laevo we. MYSQL 数据 库 服务 器 zm 
jara — SA ARA 
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一 麻 。 包 新 这 个 webmn MA. 


图 15-72 启动 MySQL 服务 器 后 的 管理 窗口 


O 创建 person 数据 库 只 需 单 击 【 创 建新 的 数据 库 】 按 钮 ， 打 开 【 新 的 数据 库 选项 〗 窗 口 ， 如 
图 15-73 所 示 。 在 【数据 库 名 】 文 本 框 中 输入 person， 如 果 需 要 为 person 数据 库 建 立 初始 
数据 表 ， 在 【初始 数据 表 】〗 选 项 区 中 选中 Named 单 选 按钮 ， 并 为 初始 表 设 定名 字 和 字段 。 
本 例 只 创建 一 个 空 的 数据 库 ， 其 他 选项 接受 默认 的 设置 ， 直 接 单 击 【 新 建 〗 按 钮 确定 。 


[d 创建 数据 库 
新 的 数据 库 选项 
uq ee o) 
Character sò RU > ~ 
初始 数据 表 © 无 O Named! with fields below 
xr 口 是 口 是 回 是 [DX ] 
xL 口 是 口 是 [mæ DE 
~ Deine mæ DE 
~ 口 是 口 是 回 是 [ns 


gj 


和 返回 到 数据 库 列 表 


15-73 ”创建 新 的 数据 库 person 
Q person 数据 库 创建 成 功 后 ， 在 图 15-72 的 方 框 区 域 就 会 出 现 person 数据 库 的 图 标 ， 单 击 这 


vs 
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个 图 标 进入 【编辑 数据 库 】 窗 口 ， 如 图 15-74 所 示 , 该 数据 库 没有 任何 表 。 如 果 要 创建 新 表 ， 


在 【新 建新 表 】 按 钮 后 的 【字段 】 文 本 框 中 输入 表 中 字段 的 数目 ， 然 后 单 击 【 新 建新 表 】 
打开 【创建 表 】〗 窗 口 ， 如 图 15-75 所 示 。 在 【 表 名 】 文 本 框 中 输入 information， 然 后 输入 字 
段 的 名 字 、 数 据 类 型 及 宽度 ， 我 们 选择 no 字段 名 为 主键 ， 需 要 注意 的 是 ， 在 使 用 Webmin 
创建 新 表 时 ， 主 键 是 必须 要 设置 的 ， 否 则 表 将 创建 不 成 功 。 如 果 所 要 创建 的 表 没有 合适 的 
字段 作为 主键 ， 可 以 创建 一 个 与 内 容 无 关 的 序列 号 作为 主键 ， 并 选中 【自动 增 量 】 列 中 的 
复 选 框 ， 这 样 该 序列 号 会 随 着 数据 记录 的 增多 而 自动 增加 。 但 不 能 选择 【允许 空白 】 列 中 
的 复 选 框 , 即 主键 不 能 为 空 . information 表 的 其 他 字段 的 设置 如 图 15-75 所 示 , 然后 单 击 【 新 
建 〗 按 钮 创建 新 表 。 


ipae a51 编辑 数据 库 


上 不 数据 库 中 设 有 表 。 
uum 6 Cw ] CE CRE) 


和 EEH 数据库 列表 


15-74 ”数据 库 编辑 窗口 


tee tl 创建 表 
从 此 表 中 复制 字段 © * 
xm [KW 司 
EE FLEE EE EC CEL OES EL DU MEM 
下 | ]gs n 是 | ] 
E = a[o jotos B És 口 Pk [ ] 
[re E ] 口 是 口 是 回 是 ns jr ] 
| 司 [ June 口 是 ”| 回 是 | 口 是 | ] 
|phonenm ][vereher lfi ] 口 是 口 是 回 是 | 口 是 | ] 
[adiress ][vrear — i| ] 口 是 口 是 ”| 回 是 [ns [| ] 


pm) 


15-75 创建 新 表 information 


Q infomation 表 创 建成 功 后 ， 则 在 person 数据 库 编辑 窗口 中 出 现 information 表 的 图 标 ， 如 
图 17-76 所 示 。 单 击 该 图 标 打开 【编辑 数据 表 】 窗 口 ， 如 图 15-77 所 示 ， 该 页 面 列 出 了 
information 表 中 各 字段 的 详细 信息 ， 可 以 选择 字段 进行 编辑 或 删除 操作 。 

O 如 果 要 为 表 添加 记录 或 查看 记录 ， 则 单 击 【查看 数据 〗 按 钮 打开 【 表 数 据 〗 窗 口 ， 初 始 状 
态 该 页 面 显示 表 中 无 任何 数据 ， 单 击 【 增 加 行 〗】 按 钮 将 记录 添加 到 页 面 ， 如 图 15-78 所 示 。 
本 例 在 no 字段 文本 框 中 输入 0071, name 字段 文本 框 中 输入 BOB, sex 字段 文本 框 中 输入 
m, birthday 字段 文本 框 中 输入 1986-09-11, phonenum 字段 文本 框 中 输入 025-8374313 address 
字段 文本 框 中 输入 SEU， 然 后 单 击 【保存 】 就 添加 了 一 条 新 的 记录 ， 在 【 表 数 据 】 编 辑 窗 
口 显示 了 所 创建 的 BOB 记录 ， 如 图 15-79 所 示 。 
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pege Asl 编辑 数据 库 


Select all. | Irvert selection. 


ON 


elect all. | Irvert selection. 
FEFE) 4 [meme CR) 


和 EEH 数据库 列表 


15-76 创建 新 表 information 后 的 数据 表 列表 


ques 编辑 数据 表 
在 数据 库 中 ,rsan 中 的 aoution 


E: Egger ee C ove mie] WE 


15-77 表 information 中 各 字段 的 详细 信息 


Module 431 EL 
在 数据 库 中 ,ess 中 的 表 swtormaticn 


和 返回 到 字段 列表 | EEF KEZAR | 返回 到 NEFAR 


15-78 ”编辑 表 中 数据 
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TER uis 
TERRE Porron FATA intormation 
Select all. | Fwert selection, 
e pe e reas oem es NN 
Eo: Ece m 1936-09-11 025-8374313 u 


Seertall. | rwertssecton 


Ln 


和 记 回 到 字段 列表 |GEEU SUETOUR | 返回 到 JCEIEAHRE 


图 15-79 新 建 的 记录 


O 接着 我 们 讲述 如 何 利用 Webmin 对 用 户 、 表 和 主机 的 权限 进行 设置 。 在 【MySQL 数据 库 服 
务 器 】 管 理 窗口 中 单 击 【 全 局 选项 〗 选 项 区 中 的 【用 户 权限 】 图 标 ， 如 图 15-80 所 示 。 打 开 
【用 户 权限 】〗 和 窗口 ， 如 图 15-81 所 示 ， 该 页 显示 了 用 户 的 权限 列表 ，【 用 户 】〗 项 是 MySQL 
数据 库 的 用 户 ，【 主 机 】 项 指定 该 用 户 允 许 从 哪 台 主机 上 登录 ，【〖【 加 密 密 码 〗 项 存放 了 加 
密 过 后 的 用 户 密码 ，【 权 限 〗 规 定 了 该 用 户 拥有 的 对 数据 库 表 的 操作 权限 。 


日 全 局 选项 


数据 库 权限 ESI 未 权限 REUS 


MYSQL System Variables. 


MySQL Server Configuration. Database Connectons 
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Modo R3 用 户 权限 


TAOSACE79A57q8706 王 1ED 生 155F36098C1470797 


口 
(aj 
[a] 
[al 
[a] 

7 


5e : ER 
Telere Selected 


FEAE Ewenn PARN uno LP Esc AE PRI 


D ERRA bamo A. BARR. [EEREE E 
D 在 匹配 的 we 用 户 二 灾后 ， 也 更 新 hysoL 用 户 。 mE] 
BI Em [se 


创建 市 主机 各 的 新 用 户 © LREN O 指定 的 主机 
pia 


和 Era RRINE 
图 15-81 【用 户 权限 】 窗 口 
© 如 果 需 要 创建 新 的 MySQL 数据 库 用 户 ， 比 如 创建 一 个 guest 用 户 ， 并 只 允许 在 
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seugrid3.seu.edy.cn 这 人 台 主 机 上 登录 ， 则 单 击 【 创 建新 用 户 】 按 钮 打开 如 图 15-82 所 示 窗 口 ， 
在 【用 户 名 】 选 项 区 中 选择 【匿名 用 户 】 后 的 单 选 按钮 ， 并 输入 guest. 主机】 选项 区 中 
选择 【任何 】〗 后 面 的 单 选 按钮 ， 并 输入 seugrid3.seu.edu.cn， 如 果 将 【主机 】〗 设 为 【任何 】 
就 表示 允许 该 用 户 从 任意 主机 上 远程 登录 MySQL 服务 器 。 在 【权限 〗 下 拉 列 表 框 中 选择 图 
中 所 示 的 6 个 权限 。 单 击 【 保 存 】 按 钮 ， 就 创建 一 个 设置 了 相应 权限 的 新 用 户 guest， 并 显 
示 在 【用 户 权限 】 窗 口中 ， 如 图 15-83 所 示 。 


Module 索引 
帮助 


MysaQt 用 户 详细 信息 

用 户 名 O 〇 匿名 用 户 @ [rest 

密码 ”无 © 设置 为 .. 
ÆN O 任何 @ [seuerid3. seu. edu. cn. 


图 15-82 创建 成 功 新 的 MySQL RIP guest 


用 户 主机 CELH 权限 


DES 。 seugrid2.seu.edu.cn 无 

口 匿 各。 localhost 无 

[O est ud se 选择 | 插入 | 更 新 | 则 除 | 创建 | 删除 
|E root localhost 全 部 

| root saugrid2,seu.edu,cn 全 部 

| 口 seugrid 任何 +A05ACE78A574B7D63E1804F155F38098BC1470797 全 部 


15-83 ”创建 成 功 的 guest 用 户 


鳃 点 评 与 拓展 : ”对 于 MySQL 数据 库 的 管理 ， 一 般 不 使 用 shell 命令 ， 通 常 可 以 使 
用 MySQL-Front 和 Webmin 两 种 软件 所 提供 的 图 形 化 窗口 。 


15.41 使 用 Webmin 管理 系统 软件 


Webmin 还 提供 了 Linux 系统 软件 的 安装 、 务 载 等 功能 。 一 般 情 况 下 ， 系 统 软件 的 安装 
用 shell 命令 完成 ， 前 面 章节 也 讲 过 许多 种 软件 安装 的 方法 ， 但 是 系统 软件 的 印 载 在 shell 
命令 下 往往 难以 很 干净 地 删除 该 软件 的 所 有 相关 文件 , 因此 利用 Webmin 来 卸载 系统 软件 显 
得 更 加 方便 和 实用 。 
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o 在 Webmin 管理 窗口 中 ， 单 击 目 录 区 中 SystemSoftware Packages 选项 ， 弹 出 如 图 15-84 
所 示 的 软件 包 管 理 窗口 。 主 要 分 为 两 块 : 最 上 面 的 搜索 软件 包 部 分 可 以 搜索 系统 已 经 安装 
好 的 软件 包 ， 并 且 提 供 显 示 系统 软件 包 的 树 形 结构 。 单 击 图 15-84 中 的 Package Tree 按钮 ， 
弹出 如 图 15-85 所 示 的 软件 包 树 ， 它 按 功能 将 系统 软件 列 出 ， 方 便 用 户 的 查找 。 中 间 一 块 是 
用 于 安装 系统 软件 的 模块 , 但 是 只 支持 Ipm 包 的 安装 。 rpm 包 可 以 定位 到 Linux 主机 或 是 从 
Windows 主机 直接 上 传 ， 甚 至 可 以 从 FTP 下 载 ， 这 为 用 户 提供 了 一 定 的 便利 。 


Ren 软件 包 T 


ILL LL 
ABRRNTAE PER 


e 从 下 地 文件 回 

O KERETA E 

C ipee Bus Com) 
O resa tom n 


回 标识 一 个 文件 
NOH OCICUMDREGUUDXUUR em MOE. 


n 加 
图 15-84 Webmin 的 软件 包 管理 窗口 


Module 213] Package Tree 
© 4/Packaoes 
E Amusement 


E bzpz 103-221 A file compression utility. 
desktop-prining 0 1-6 Desktop print kon 

回 he41662 ^ uiy for determnng file ypes. 
EE 


27-4 The GNU versione of fird utilties (fnd and xargs). 

B gp1356241 The GNU data compression program. 

Bl reel5o321 A utility which displaye a troc viow of tho contents of directories. 
E interret 
局 wuumeda 
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© 如 何 使 用 Webmin 印 载 系统 软件 呢 ? 比如 我 们 需要 印 载 sendmail 这 个 软件 ， 则 在 软件 包 管 
理 首 页 输入 sendmail， 单 击 【 搜 索 软件 包 】 按 钮 ， 如 图 15-84 标注 部 分 所 示 。Webmin 会 将 
所 搜索 到 的 关于 sendmail 的 所 有 软件 包 列 出 来 ， 如 图 15-86 所 示 。 图 中 一 共有 两 个 sendmail 
相关 的 包 ， 选 中 这 两 个 软件 包 ， 单 击 Uninstall selected packages 按钮 ， 弹 出 如 图 15-87 所 示 
的 窗口 。 在 Ignore dependencies 选项 区 中 选中 【是 】 单 选 按钮 ， 即 忽略 该 软件 与 其 他 软件 的 
依赖 关系 ; 如 果 选 中 【和 否 】 单 选 按钮 ， 可 能 会 由 于 其 他 软件 使 用 sendmail 软件 包 而 导致 无 
法 删除 。 并 在 Skip uninstall scripts 选项 区 中 选中 【是 】 单 选 按钮 ， 如 图 15-87 标注 部 分 所 示 。 然 
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后 单 击 Delete them all 按钮 ， 即 可 删除 所 有 sendmail 相关 的 软件 包 。 
P^ inia 软件 包 搜索 
匹配 senaneit 的 软件 包 


Selecta. | Invert selection, 


Ex3 
System EronmenVDasmans A widely usec Mall Transport Agent (MTA). 
System Ervironment/Daemens The files reeded to reconfigure Sendmail. 


15-86 搜索 sendmail 的 结果 


帮助 Delete Packages 


Are you sure you want to urinctal the packages seramsil senmail-ef? 


Ignore dependencies? © 是 
Skip uninstall scripts? © 是 QF 


图 15-87 ”删除 软件 包 


15.12 本 章 小 结 


Webmin 是 功能 强大 的 基于 Web 的 集 系 统管 理 和 网 络 管理 于 一 身 的 图 形 化 Linux 管理 工 
Hs 网 络 管理 员 通过 浏览 器 访问 Webmin 友好 的 用 户 窗口 ， 从 而 轻松 地 管理 本 地 或 远程 服务 
器 。 本 章 主 要 介绍 了 Linux 图 形 化 管理 工具 Webmin 的 安装 和 配置 ， 以 及 利用 Webmin 管理 
图 形 化 窗口 分 别 对 DHCP, Samba, DNS, Web, NFS, SSH, MySQL, Pi KASSIRI HINE 
置 方法 ， 以 及 利用 Webmin 管理 系统 软件 。 但 是 Webmin 提供 的 仅仅 是 对 各 种 服务 的 配置 窗 
， 只 能 是 方便 网 络 管理 员 进 行 某 些 配 置 工作 ， 而 不 可 能 替代 使 用 shell 命令 行 所 进行 的 配 
置 , 因此 建议 读者 在 清晰 理解 各 种 服务 器 配置 参数 的 意义 的 基础 上 , 再 辅 以 Webmin 图 形 化 
工具 来 配置 Linux 的 各 种 服务 器 。 
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服务 器 性 能 监控 就 是 为 远程 用 户 提供 资源 信息 、 资 源 状态 等 性 能 参数 ， 并 对 资源 进行 
监测 、 控 制 ， 有 利于 分 析 服 务 器 性 能 瓶颈 、 发 现 服务 器 故障 、 及 时 恢复 或 调整 系统 。 因 此 ， 
随 着 目前 公司 或 学 术 机 构 拥 有 的 服务 器 数量 日 益 增 多 ， 服 务 器 性 能 监控 技术 成 为 了 架设 
Linux 时 必须 要 考虑 的 重要 问题 之 一 。 本 章 首 先 介绍 服务 器 性 能 监控 的 意义 ， 以 及 国际 上 流 
行 的 服务 器 性 能 监控 软件 Ganglia 的 应 用 现状 ; 然后 介绍 Ganglia 的 安装 、 启 动 和 测试 ， 最 
后 通过 大 型 的 案例 ， 结 合 Ganglia、MySQL、shell 脚本 、Java、Web 服务 器 及 JSP 开发 等 前 
面 章节 的 知识 和 实用 技术 ， 实 现 一 个 网 络 服务 器 性 能 监控 系统 ， 以 Web 页 面 的 形式 展示 给 
终端 用 户 。 

通过 本 章 的 学 习 ， 读 者 应 掌握 以 下 内 容 : 

信 “理解 服务 器 性 能 监控 的 概念 和 意义 
Ganglia 的 安装 和 启动 
利用 Ganglia 获取 服务 器 的 性 能 参数 
理解 网 络 服务 器 性 能 监控 系统 的 设计 和 开发 思路 
掌握 shell 编程 、Java/JSP 编程 及 SQL 语言 的 综合 使 用 
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16.1 服务 器 性 能 监控 概述 


16.1.1 服务 器 性 能 监控 的 意义 


服务 器 性 能 监控 ， 就 是 在 网 络 环境 下 为 管理 系统 及 终端 用 户 提供 性 能 参数 信息 、 服 务 
器 状态 等 ， 所 收集 到 的 性 能 参数 可 以 为 管理 系统 制定 决策 、 分 配 和 调度 资源 等 提供 依据 ， 
利于 第 一 时 间 发 现 服务 器 故障 ， 及 时 恢复 调整 服务 器 系统 。 长 期 对 服务 器 性 能 进行 监控 
所 获得 的 数据 ， 可 以 用 来 分 析 服 务 器 性 能 的 瓶颈 、 观 察 用 户 的 行为 ， 有 助 于 优化 服务 器 配 
置 和 部 署 。 有 鉴于 此 ， 国 际 上 许多 大 学 、 著 名 IT 公司 、 高 性 能 计算 中 心 等 部 门 都 越 来 越 重 
视 服 务 器 的 性 能 监控 ,普遍 在 部 门 的 服务 器 上 部 署 了 监控 软件 ， 并 提供 给 用 户 图 形 化 的 访 
问 界面 。 因 此， 架设 好 的 Linux 服务 器 除了 要 考虑 其 系统 安全 性 之 外 ， 如 何 监控 其 性 能 、 监 
控 其 哪些 性 能 参数 、 如 何 及 时 更 新 这 些 性 能 参数 及 以 何 种 形式 展示 给 用 户 都 是 必须 要 考虑 
的 重要 问题 。 服 务 器 性 能 监控 的 研究 逐渐 成 为 激动 人 心 的 研究 领域 ， 设 计 和 开发 完善 、 稳 
定 、 实 用 的 商用 性 能 监控 系统 也 必 将 成 为 颇具 市 场 潜力 的 软件 产品 。 

在 利用 Windows NT/2K 所 架设 的 服务 器 中 ，perfmon 提供 完备 的 单机 状态 和 性 能 监控 


系统 信息 ， 但 它们 都 仅仅 为 本 地 
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在 Linux 系统 中 ， 可 以 用 uname、sysinfo、vmstat、netstat、ps、top 等 shell 命令 查看 特定 


系统 应 该 具备 如 下 特点 。 


5 
户 提供 系统 的 性 能 信息 ， 不 支持 以 XML 等 Web 数据 库 
格式 显示 这 些 性 能 信息 ， 而 且 也 不 支持 远程 用 户 的 获取 和 访问 。 分 布 式 的 网 络 服务 器 监控 


今 “ 动 态 性 : 服务 器 的 性 能 参数 可 以 分 为 静态 信息 和 动态 信息 两 类 ， 静 态 信息 是 服务 
器 不 随时 间 变 化 的 一 些 固 有 属性 ， 如 操作 系统 类 型 、CPU 主 频 、 
磁盘 空间 总 量 、 交 换 区 总 量 等 ， 动 态 信息 是 服务 器 随时 间 的 变化 、 所 运行 的 进程 


又 要 收集 其 动态 信息 。 


信 ”安全 性 :由 于 网 络 服务 器 分 布 在 不 同 的 地 理 位 置 ， 间 
域 ， 因 此 至 少 不 能 破坏 其 原 有 的 安全 性 。 


的 不 同 而 不 断 改变 的 一 些 参数 ， 如 空闲 CPU、 空 闲 磁盘 、CPU 在 某 时 间 段 内 的 平 
均 负载 、 交 换 区 剩余 空间 等 。 因 此 ， 监 控 系 统 既 要 收集 网 络 服务 器 的 静态 信息 ， 


物理 内 存 大 小 、 


* Ru: 资源 监控 系统 要 尽 可 能 少 地 耗费 服务 器 的 资源 。 


基于 对 监控 系统 特点 的 分 析 ， 


网 络 服务 器 监控 的 主要 难点 有 以 下 几 点 。 


F 且 有 些 服 务 器 应 用 于 关键 领 


今 “ 被 监控 资源 的 多 样 性 : 监控 对 象 包含 硬件 、 软 件 及 外 部 设备 等 多 种 类 型 的 资源 ， 
而 且 资 源 之 间 的 关系 也 比较 复杂 。 


仿 “ 被 监控 资源 数量 巨大 ;互联 的 


个 平面 内 统一 管理 。 


有 务 器 数量 急剧 增多 ， 如 此 众多 的 资源 无 法 放 到 一 


今 “ 被 监控 资源 不 具有 内 在 逻辑 结构 : 目前 的 局 域 网 与 互联 网 基本 都 是 任意 互联 的 ， 
其 中 的 资源 缺少 内 在 逻辑 结构 的 描述 与 限定 。 
分 ”被 监控 资源 的 动态 性 ， 被 监控 资源 无 时 无 刻 不 在 发 生变 化 ， 监 控 系 统 必须 跟踪 这 


些 变化 。 


因此 在 设计 网 络 服务 器 性 能 监控 系统 时 需要 考虑 到 服务 器 监控 独 有 的 特点 和 难点 ， 并 


使 其 能 在 广 域 范围 内 可 扩展 ， 能 包容 异 构 资源 ， 六 


件 集成 。 


16.1.2 Ganglia 简介 


Ganglia 是 一 种 可 扩展 的 分 布 式 监控 系统 ，3 
高 性 能 计算 机 系统 。Ganglia 是 由 加 利 福 尼 


能 在 命名 和 安全 方面 与 


了 其 他 的 成 熟 中 间 


E 要 用 于 监控 各 种 网 络 服务 器 、 集 群 系统 等 
严 伯克利 分 校 开发 的 开源 软件 ， 最 初 由 美国 的 


NPACI 和 自然 基金 (NSF) 资 助 , 目标 是 为 国家 普 适 计算 基础 设施 一 一 网 格 所 建立 的 动态 监控 
软件 .Ganglia 监控 系统 由 两 个 守护 进程 (Daemon), 分 别 是 客户 端 Ganglia Monitoring Daemon 
(gmond) 和 服务 端 Ganglia Meta Daemon (gmetad)， 以 及 Ganglia PHP Web Frontend( 基 于 Web 


的 动态 访问 方式 ) 组 成 -gmond 模块 运行 


负载 、 内 存 用 量 、 磁 盘 空 间 等 系统 信息 。 


名 IT 公司 、 高 性 能 计算 中 心 所 开发 的 监控 系统 大 都 基于 gmond HEH 
http:/monitormillennium berkeleyedu 即 为 加 利 福 尼 亚 伯克利 分 校 的 监控 系统 ， 图 16-1 显示 


了 它 以 图 形 化 的 形式 展示 给 终端 用 


户 服务 器 的 性 能 参数 ， 它 利用 Ganglia 


上 所 有 需要 被 监视 的 结 点 上 , 负责 收集 本 结 点 的 CPU 


于 Ganglia 的 gmond 进程 可 以 方便 地 收集 各 结 点 的 资源 信息 ， 国 际 上 许多 大 学 、 著 


F 发 。 比 如， 网 站 


的 gmond 进程 获 
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得 CPU 和 存储 方面 的 性 能 ， 并 以 图 形 化 的 Web 界面 清晰 地 展示 了 过 去 一 小 时 内 的 CPU 负 
载 和 内 存 负载 情况 。 这 种 网 络 服务 器 的 监控 模式 不 仅 可 以 方便 地 监控 本 部 门 的 网 络 服务 器 
的 工作 情况 ， 而 且 方便 了 终端 用 户 对 本 部 门 网 络 服务 器 的 了 解 ， 相 信 会 越 来 越 流行 。 


Lan s S esed Eee 司 


Ganglia — TTT OT E a 


VC Berkeley Grid > Ciomas suce. ` 


VC Belkeley Grid (12 mod 一 


16-1 UC Berkeley 的 监控 系统 


主要 参数 及 对 应 描述 如 表 ， 16-1 所 示 。 
表 16-1 gmond 所 收集 的 主要 性 能 参数 及 描述 


参数 名 称 d x 
cpu idle 空闲 CPU 百分比 
cpu num CPU 数目 ， 实 际 上 是 CPU 核 的 数目 
cpu speed CPU 的 主 频 ， 单 位 为 MHz 
disk free 总 的 磁盘 空间 
disk_total 空闲 的 磁盘 空间 
load fifteen 15 分 钟 内 的 CPU 平均 负载 
load five 5 分钟 内 的 CPU 平均 负载 
load one 1 分 钟 内 的 CPU 平均 负载 
machine type 机 器 类 型 ， 一 般 为 X_ 86 64 
mem buffers 缓冲 区 内 存 的 大 小 
mem cached cache 的 大 小 
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续 表 
参数 名 称 d 述 
mem free 总 的 物理 内 存 大 小 
mem shared 总 的 虚拟 内 存 大 小 
mem total 总 的 内 存 大 小 ， 物 理 内 存 加 上 虚拟 内 存 
mtu 网 络 最 大 的 传输 包 的 长 度 ， 单 位 是 B 
os_name 操作 系统 名 字 
os release 操作 系统 的 发 行 版 本 
swap free 空闲 的 交换 区 的 空间 
swap total 总 的 交换 区 空间 


16.2 Ganglia 的 安装 和 部 署 


应 用 实例 导航 一 一 Ganglia 的 安装 


※ 场 景 呈现 

某 高 性 能 计算 中 心 需要 在 多 网 卡 的 服务 器 上 安装 和 部 署 Ganglia 软件 ， 并 启动 gmond 
进程 ， 利 用 Telnet 获取 gmond 所 收集 的 服务 器 性 能 参数 信息 。 

※ 技 术 要 领 

(1) Ganglia 的 安装 。 

(2) gmond 的 启动 。 

(3) 利用 Telnet 获取 性 能 参数 。 


16.2.1 Ganglia 的 安装 


本 节 讲 述 Ganglia 的 安装 过 程 。Ganglia 的 安装 包 以 源码 形式 提供 ， 与 前 面 章节 所 讲述 

的 很 多 软件 的 安装 过 程 一 样 ， 需 要 配置 、 编 译 、 安 装 ， 具 体 步骤 如 下 。 

o Ganglia 软件 可 以 通过 官方 网 站 http://ganglia.sourceforge.net 下 载 ， 如 图 16-2 所 示 ， 单 击 图 中 
标注 处 即 可 下 载 ; 或 从 本 书 附带 的 光盘 获得 ， 本 节 以 ganglia-3.0.4 版 本 为 例 示 范 安装 ， 安 装 
包 名 字 为 ganglia-3.0.4.tar.gz， 将 安装 包 复 制 到 /usr/local 目录 ， 使 用 下 面 命令 解压 缩 ， 得 到 
/usr/local/ganglia-3.0.4 目录 。 


tar -zxvf ganglia-3.0.4.tar.gz 
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anglia Honatorinf Syston > What 1s Ganglia? - Microsoft Internet Explorer 
X RED SEV WRO IRT 


"ET 
o-2(26; 


mx ojowmx €) 


GROUNDWORK 


Wro Uses Gangla? 


16-2 Ganglia 官方 网 站 
@@ 进入 husnlocalganglia-3.0.4 目录 ， 安 装 包 为 源码 结构 ， 需 要 配置 编译 ， 使 用 下 面 命令 配置 
ganglia， 如 图 16-3 所 示 。 


./configure 


ganglia 包 较 大 ， 配 置 需要 一 定时 间 ， 出 现 如 图 16-4 所 示 


eugrid2 local]f 


1 ganglia-3.C 
eugrid’ 


ganglia-3.T. 4]# 1 


nfig.h YIN 


janglia 
janglia 
janglia- 


nfig.log 


Makefil 
Makefil 
Makefil 


am 
configure. in 


2 ganglia-3.0.4]# 


>mpat ible im 
build enviror 


in stamp-hl 


16-3 配置 ganglia 软件 
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图 16-4 配置 ganglia 结束 
© 配置 结束 后 ， 可 以 使 用 下 面 命令 编译 ， 如 图 16-5 所 示 


make 


etric -I../s 
-D REENTRANT -| 


图 16-5 ”编译 ganglia 


o ganglia 编 


使 用 下 面 命令 安装 ganglia， 如 图 16-6 


make install 


Enterir 
Ent 


&& rm 


&& rm 


图 16-6 ”安装 Ganglia 
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16.2.2 Ganglia 的 启动 和 测试 


Ganglia 安装 完毕 后 ， 就 可 以 启动 Ganglia 的 组 件 gmond 了 ， 并 利用 gmond 进程 获得 服 
务 器 的 各 个 性 能 参数 。 事 实 上 ，Ganglia 包括 很 多 组 件 ， 包 括 客户 端 Ganglia Monitoring 
Daemon (gmond)、 服 务 端 Ganglia Meta Daemon (gmetad) 和 Ganglia PHP Web Frontend( 基 于 
Web 的 动态 访问 方式 )， 本 章 仅 使 用 到 gmond 组 件 ， 其 他 组 件 的 功能 读者 可 以 参考 Ganglia 
官方 网 站 的 相关 介绍 。 
Q gmond 入 口 程序 被 默认 安装 在 /usr/sbin 目录 下 ， 因 此 直接 输入 gmond 就 可 以 启动 gmond 3t 
程 。 由 于 gmond 进程 是 在 TCP 的 8649 端口 侦 听 ， 故 可 以 使 用 下 面 命令 查看 gmond 的 侦 听 
状态 ， 如 图 16-7 所 示 。 


netstat -apl | grep 8649 


从 图 16-7 可 以 看 到 ，gmond 进程 在 所 有 网 卡 上 都 侦 听 ， 这 也 是 gmond 的 优势 所 在 。 很 多 同 
等 功能 的 服务 器 监控 软件 只 能 在 一 个 网 卡 上 侦 听 ， MER 息 难以 监控 。 


16-7 ”启动 gmond 服务 


@ 使 用 Telnet 协议 可 以 获得 Ganglia 所 收集 的 性 能 参数 ,使 用 下 面 命令 可 以 获得 本 机 的 性 能 参 
数 ， 如 图 16-8 所 示 。 


telnet localhost 8649 


图 16-8 中 第 二 处 标注 表示 ， 连 接 本 地 服务 器 获得 性 能 参数 。 如 果 需 要 获取 其 他 主机 的 性 能 
参数 ， 使 用 下 面 命令 : 


telnet IP 8649 


比如 ,我 们 需要 获得 172.18.12.178 的 信息 ， 输 入 “telnet 172.18.12.178 8649”， 就 尝试 telnet 
连接 远程 主机 ， 并 获得 其 性 能 参数 ， 如 图 16-9 所 示 。 但 是 ， 此 时 要 确保 172.18.12.178 这 台 
主机 已 经 安装 了 Telnet 服务 器 端 软件 ,并 成 功 启动 xinetd 服务 ,Telnet 的 相关 配置 和 启动 的 
方法 可 以 参考 第 4 章 “ 远 程控 制服 务 : Telnet. SSH fs VNC” 的 论述 。 

© Ganglia 所 收集 的 所 有 性 能 参数 如 图 16-10 所 示 ， 它 以 XML 格式 显示 ， 以 标签 
<GANGLIA_XML VERSION="3.0.4" SOURCE="gmond"> 开 头 ，</GANGLIA_XML> 结 尾 。 
图 16-11 显示 了 部 分 性 能 参数 的 详细 信息 ， 每 一 行 每 一 对 的 “<METRIC>” 内 即 为 一 个 性 能 
参数 信息 , NAME 是 该 性 能 参数 的 名 字 , 比如 epu. speed 即 为 CPU 主 频 , load five 即 为 CPU 
5 分 钟 内 的 负载 ，VAL 为 该 性 能 参数 的 数值 ，TYPE 为 该 数值 的 类 型 ，UNITS 为 该 性 能 参 
数 的 单位 ， 等 等 。 从 图 16-11 可 以 看 到 ，CPU 主 频 数值 为 2992， 类 型 是 字符 型 ， 单 位 是 
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表示 主 频 为 3GHz。 


!ELEMENT 


i $IMPLIED? 
| SIMPLIED? 
LTIME CDATA 并 REQRUIRED> 


DMAX 
MOND L C. #IMPLIED> 


E 16-8 获取 本 机 服务 器 性 能 参数 


CDATA $REQUIRED 
$IMPLIED» 
DATA fIMPLIED? 
#IMPLIED> 
LOCALTIME € #REQUIRED> 


图 16-9 ”获取 其 他 主机 的 服务 器 性 能 参数 
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图 16-10 Ganglia 所 收集 的 性 能 参数 


16-11 具体 的 性 能 参数 属性 


鳃 点 评 与 拓展 : gmond 所 收集 的 许多 组 性 能 参数 中 , 有 一 些 性 能 参数 是 静态 不 变 的 ， 
Jv os name 操作 系统 名 称 ，men toal 物理 内 存 总 量 等 参数 ; 但 是 有 些 参 数 是 随 着 gmond 收 
load five 5 分 钟 内 CPU 负载 等 参数 。 


集 时 间 的 不 同 而 改变 的 ， 如 disk free 空闲 磁盘 空间 ， 
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16.3 网络 服务 器 的 性 能 监控 


M 


应 用 实例 导航 一 一 网 络 服务 器 监控 系统 的 实现 


某 高 性 能 计算 中 心 为 了 能 提供 给 终端 用 户 全 面 的 服务 器 信息 ， 并 随时 监控 服务 器 的 运 
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行 状态 和 性 能 参数 ， 需 要 收集 部 署 在 局 域 网 内 所 有 服务 器 的 性 能 参数 ， 将 这 些 性 能 参数 存 
放 在 中 心 数 据 库 ， 并 动态 地 实时 更 新 。 

中 心 数据 库 利 用 MySQL 软件 架设 ， 由 两 张 数据 库 表 来 存放 资源 信息 ， 第 一 张 表 为 
resourcetype, 存放 性 能 参数 名 称 及 其 单位 , 这 张 表 静 态 存在 , 无 需 更 新 ; 第 二 张 表 为 resources 
表 ， 存 放 各 服务 器 的 所 有 性 能 参数 及 参数 的 数值 ， 这 张 表 定时 动态 更 新 。 服 务 器 部 署 和 网 
络 拓扑 如 图 16-12 所 示 。 假 设 该 计算 中 心 有 两 个 局 域 网 ， 网 段 分 别 为 192.168.10.* 和 
172.18.12.*， 我 们 在 两 个 局 域 网 段 内 的 服务 器 上 都 部 署 Ganglia 软件 ， 搜 集 性 能 参数 ， 然 后 
分 别 通过 网 关 发 送 到 MySQL 数据 库 服 务 器 ， 而 Web 服务 器 与 MySQL 数据 库 同步 ， 以 jsp 
或 html 网 页 的 形式 显示 所 有 服务 器 的 性 能 参数 ， 提 供给 用 户 以 HTTP 协议 的 方式 访问 。 


192.168.10.0 


16-12 ”服务 器 部 署 示意 图 


BORSE SR 


(1) 利用 Ganglia 收集 服务 器 性 能 参数 。 

(2) 利用 Java 程序 解析 XML 格式 文件 。 

(3) 利用 Java 程序 建立 、 更 新 数据 库 。 

(4) 利用 JSP 技术 显示 MySQL 数据库 信 息 。 
(5) 利用 crontab 定时 更 新 性 能 参数 。 


本 节 通 过 场景 呈现 中 的 实际 案例 来 讲述 如 何 利 用 Ganglia 软件 采集 服务 器 的 信息 , 并 结 
合 前 面 章节 中 所 讲述 的 MySQL 数据库 和 Web 服务 器 的 相关 知识 , 将 Ganglia 所 收集 的 性 能 
参数 存放 到 数据 库 表 中 ， 并 提供 给 用 户 以 HTTP. 协议 的 方式 访问 。 本 节 将 网 络 服务 器 监控 
系统 的 实现 分 为 四 个 子 问题 : 首先 将 Ganglia 所 收集 的 性 能 参数 信息 制 成 一 个 XML 文件 ; 
然后 利用 Java 程序 解析 该 XML 文件 ; 接着 将 解析 出 的 性 能 参数 信息 逐 行 写 入 MySQL 数据 
库 中 ;最 后 实现 数据 库 中 的 信息 定时 更 新 ， 并 通过 Web 页 面 图 形 化 地 展示 给 用 户 。 
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16.3.1 利用 Ganglia ^E pk XML 文件 


由 于 Ganglia 软件 本 身 就 以 XML 的 形式 在 shell 上 显示 所 收集 到 的 性 能 参数 信息 , 因此 
我 们 将 shell 信息 重 定向 到 文本 文件 就 可 以 生成 性 能 参数 的 XML 文件 了 。 
将 性 能 参数 的 XML 文件 取 名 为 gmond_msg_1.txt， 使 用 下 面 命令 实现 shell 信息 的 重 定向 ， 
如 图 16-13 所 示 。 
telnet localhost 8649 > gmond msg 1.txt 
shell 命令 中 的 “>” 符 号 的 意思 是 将 shell 的 输出 结果 写 入 到 该 符号 后 面 的 文件 中 ， 类 似 于 
C++ 中 的 输出 流 “<<” 符 号 ， 但 是 最 后 一 行 “Connection closed by foreign host” 将 不 写 入 
gmond msg l.txt 文件 ， 仍 然 回 显 在 shell 上 


图 16-13 生成 gmond_msg_1.txt 文件 
© 为 了 检验 性 能 参数 的 XML 文件 是 否 成 功 写 入 gmond msg. Ltxt 文件 ， 可 以 使 用 下 面 命令 查 
看 gmond msg 1.txt 文件 的 最 后 20 (1. 
tail -n 20 gmond msg l.txt 
tail 命令 经 常用 来 查看 长 文件 的 最 后 几 行 的 内 容 ， 如 查看 日 志文 件 的 最 新 信息 也 用 该 命令 ， 


-n 参数 后 带 的 数字 表示 查看 最 后 多 少 行 的 内 容 。 结 果 如 图 16-14 所 示 ，gmond msg_1.txt 文 
件 中 成 功 记录 了 gmond 所 收集 到 的 参数 性 能 信息 


图 16-14 ”查看 gmond_msg_1.txt 文 件 


16.3.2 解析 XML 文件 


gmond msg l.txt 文件 以 XML 格式 存放 各 性 能 参数 ， 需 要 利用 一 个 程序 把 性 能 参数 的 
名 字 、 数 值 、 类 型 等 有 用 的 信息 逐 行 地 提取 出 来 ， 由 于 每 个 性 能 参数 都 以 “<METRIC” 开 
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头 ,很 有 规律 ,因此 利用 C 语言 或 Java 语言 的 IO 类 对 文件 流 控制 逐 行 读 取 gmond msg 1.txt 
文件 内 容 ， 识 别 “<METRIC”、VAL 标记 等 标记 ， 从 而 提取 出 每 个 性 能 参数 的 名 称 、 数 值 
和 类 型 之 间 的 对 应 关系 。 
本 书 利用 Java 语言 来 实现 , 设计 了 一 个 类 ReadGmondXML.Java 对 此 XML 文件 的 解析 ， 
提取 每 个 性 能 参数 的 四 个 属性 一 一 名 字 、 数 值 、 类 型 和 单位 ， 存 放 在 数据 结构 ResourcePara 
内 ，ResourcePara 的 定义 如 图 16-15 所 示 。 


图 16-15 保存 解析 后 的 性 能 参数 的 数据 结构 


如 ， 对 于 资源 cpu_nice， 它 的 ResourcePara 对 象 的 各 成 员 的 值 为 NAME= "cpu nice" , 
VAL-"0.0" , TYPE- "float" , UNITS- "%"。 每 种 资源 信息 参数 对 应 一 个 ResourcePara 对 
象 ， 总 计 20 个 对 象 。 

有 关 结 点 资源 信息 采集 的 操作 , 即 解析 XML 文件 的 操作 , 全 部 封装 在 ReadGmondXML 
类 中 ， 该 类 的 属性 和 方法 如 图 16-16 所 示 。 


16-16 3€ ReadGmondXML 成 员 
解析 XML 文件 的 步骤 为 : 
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(1) 在 ReadFile 函数 中 每 次 读 取 一 行 作为 一 个 字符 串 。 


(2) 在 ReadFile 函数 中 调用 dealStr 函数 处 理 该 字符 串 , 当 遇 到 METRIC NAME, VAL, 
UNITS 子 字符 串 时 调用 相应 的 readNameIndex、readVALIndex、readUNITSIndex 函数 ， 把 
值 记录 到 ResourcePara 对 象 相 应 的 值 中 。ReadGmondXML 类 请 见 本 书 附带 光盘 中 的 
ReadGmondXML. Java 文件 ， 这 里 列 出 其 中 的 关键 代码 加 以 解释 。 


/** 


* Qauthor HuangHe 


* 从 gmond 产生 的 XML 文件 中 提取 服务 器 性 能 参数 的 四 个 属性 ， 并 将 服务 器 性 能 参数 存放 到 
ResourcePara 数据 结构 中 
2 
public class ReadGmondXML { 
// 类 的 属性 定义 
private File filein; 
private BufferedReader br; 
private String CLUSTER NAME-null; 
private String HOST NAME-null; 
private String IP-null; 
private ResourcePara parameter[]; 
private static final int paraNum-20; 
private DBManager db; 
// 类 的 方法 定义 
public ReadGmondXML(String filename, DBManager db) ( 
System.out.println("WMnWMnMn ---------- ReadGmondXML---------- Ann") ; 
this.db-db; 
parameter-new ResourcePara[paraNum]; 
for (int i=0;i<paraNum; i++) { 
parameter [i]=new ResourcePara("", "","",""); 
} 
try { 
filein-new File (filename); 
br-new BufferedReader (new FileReader (filein) ); 
} catch (FileNotFoundException e) { 
System.err.println("cannot find the file\t 输入 文件 错误 ， 请 重新 输入 文 


fr; 


e.printStackTrace(); 
) 


readFile(); 
exchangeWithDB(); 
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//this code must be run only once! 
//this.generateResTypeTable(); 
} 
/** 
* 解析 xml 文档 
i24 
public void readFile() 
1 
String str; 
int m-0; 
try { 
while (br.ready())í 
str-br.readLine(); 
if (m»-20) (System.out.println ("m»-paraNum! paraNum is too small, 
please set a larger one");break;] 
// 识 别 匹 配 的 资源 名 称 
if(str.indexOf( "METRIC NAME")»-1)( 
if(str.indexOf ("cpu nice")»-1)( 
dealStr(m, str); 
mt; 
) 
else if (str.indexOf ("cpu idle") > -1) ( 
dealStr(m, str); 
mt; 
) else if (str.indexOf("cpu num") > -1) ( 
dealStr(m, str); 
mtt; 
) else if (str.indexOf("disk free") » -1) ( 
dealStr(m, str); 
met; 
) 
// 提 取 服 务 器 所 需要 的 性 能 参数 ， 篇 幅 所 限 这 里 仅 以 cpu nice. cpu idle. cpu num 和 
disk free 
// 为 例 ， 如 需要 提取 其 他 参数 ， 可 以 添加 类 似 的 代码 
} 
// 处 理 一 行 字符 串 ， 调用 以 下 三 个 函数 
private void dealStr(int i,String str){ 
int vall[]-readNAMEIndex( str); 
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parameter[i].name-str.substring(vall[0], vall[11); 


vall-readVALIndex (str); 


parameter[i].val-str.substring(vall[0], vall[1]); 


vall-readTYPEIndex (str); 


parameter[i].type-str.substring(vall[0], vall[1]); 


vall-readUNITSIndex (str); 


parameter[i].units-str.substring(vall[0], vall[1]); 


/ /System.out.println ("name"&i*":"4parameter[i].name*" 


val:"*parameter[i].val*" type-"*parameter[i].type*" 


units); 


) 


private int [] readNAMEIndex(String strl)( 


) 


int vall[]-new int [2]; 

int i-strl.indexOf ("NAME"); 
vall[0]-i*6; 

vall[1]estrl.indexOf ('"',vall[0]); 


return vall; 


private int [] readVALIndex(String strl)( 


) 


int vall[]-new int [2]; 
int i-strl.indexOf ("VAL"); 
vall[0]=i+5;//vall[0] 指 向 数值 的 第 一 个 值 


units:"+parameter[i]. 


vall[1]-strl.indexOf('"', vall[0]);//vall[1]-1 指向 数值 的 最 后 一 个 值 


return vall; 


private int [] readTYPEIndex(String strl)( 


) 


int vall[]-new int [2]; 

int i-strl.indexOf ("TYPE"); 
vall[0]-i*6; 
vall[1]2strl.indexOf('"',vall[0]); 


return vall; 


private int [] readUNITSIndex(String strl)( 


*358* 


int vall[]-new int [2]; 

int i-strl.indexOf ("UNITS"); 
vall[0]-i-*7; 
vall[1]2strl.indexOf('"',vall[0]); 


return vall; 
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上 点 评 与 拓展 : 解析 XML 文件 涉及 编写 计算 机 程序 方面 的 知识 ， 本 例 以 Java 程序 
为 例 ， 实 际 上 ， 不 管 利 用 何 种 语言 ， 其 步骤 都 与 关键 代码 中 展示 的 一 样 ， 读 者 只 要 稍 有 Java 
语言 方面 的 知识 辅 以 注释 就 不 难 读 懂 本 例 。 


16.3.3 ”性 能 参数 监控 数据 库 


16.3.2 节 的 一 段 Java 代码 已 经 将 性 能 参数 的 信息 解析 了 出 来 ， 接 下 来 就 要 将 这 些 解析 
出 来 的 信息 存放 到 中 心 数 据 库 中 ， 可 以 通过 两 张 表 来 存放 所 有 服务 器 的 性 能 参数 。 
resourcetype 表 ， 存 放 性 能 参数 名 称 和 单位 ， 这 张 表 静态 存在 ， 比 如 disk free 参数 的 单位 是 
GB; resources 表 存 放 各 服务 器 的 所 有 性 能 参数 及 参数 的 数值 。 通 过 这 两 个 表 的 连接 操作 ， 
就 能 获得 性 能 参数 的 名 称 是 什么 、 单 位 是 什么 、 具 体 的 数值 是 多 少 等 完整 的 信息 。 
建立 并 更 新 数据 库 通过 Java 程序 执行 SQL 语句 来 实现 ， 步 骤 如 下 。 
在 本 地 装载 MySQL 的 JDBC 驱动 mysql-connector-Java-3.1 .1 4-bin.jar. 
利用 JDBC 驱动 通过 数据 库 的 IP 地 址 、 端 口号 、 数 据 库 所 在 服务 器 的 地 址 以 及 用 户 名 
和 密码 与 数据 库 建立 连接 。 
建立 会 话 ， 以 便 在 本 地 向 数据 库 传输 SQL 语句 。 
在 本 地 创建 合适 的 SQL 语句 ,并 发 到 数据 库 服 务 器 , 数据库 服务 器 执行 收 到 的 SQL 语 
句 ， 结 束 后 返回 执行 结果 。 
本 书 仍 然 用 Java 语言 实现 以 上 步骤 所 述 的 装载 JDBC 了 驱动、 建立 及 更 新 数据 库 等 操作 ， 
其 完整 代码 参见 本 书 附 带 光 盘 中 的 ReadGmondXML Java 文件 , 这 里 还 是 仅 列 出 其 中 的 关键 
代码 加 以 解释 。 


//exchange data with MYSQL 


public void exchangeWithDB () { 
/ / db 是 作为 函数 形 参 传 入 的 数据 库 操作 对 象 
String sql-"SELECT * FROM resources r WHERE r.IP-'"*/*"172.18.14.34"*/ 
IPn 
if (db.query (sql) ) { 
//Updata the resource infomation 
System.out.println("Update the resource infomation"); 
for(int i-0;i«paraNum;i--*)( 
if (parameter [i] .name!=""){ 
sql="UPDATE resources SET "+parameter [i] .name+"='"+parameter [i] .val+"'"+" 
WHERE IP='"+IP+"';"; 
db.updata (sql); 


} 


else {//Insert the resource infomation 
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System.out.println("Insert the resource infomation"); 
if(IP!-null && IP!-"") 
(  Sql-"INSERT INTO resources (IP) VALUES ('"4IP*"');"; 
db.updata (sql); 
for(int i=0;i<paraNum; i++) { 
if (parameter [i] .name!=""){ 


sql="UPDATE resources SET "+parameter[i].name+"='"+ 


parameter [i] .val+"'"+"WHERE IP='"+IP+"';"; 


db.updata (sql); 


} 
Java.util.Date date=new Java.util.Date(); 
Sql-"UPDATE resources SET updatetime -'"4date.toString()*"' WHERE 
IP-'"HIPe"';"; 
db.updata (sql); 
) 
public void generateResTypeTable ()( 
for(int i-0;i«paraNum;i-*)( 
String sql-"INSERT INTO resourcetype (name, unit) VALUES ('" 
*parameter[i].name*"', '"«4parameter[i].units*"');"; 


db.updata (sql); 


) 

public String getIP() ( 
return IP; 

) 

public void setIP(String ip) ( 
IP - ip; 

} 

} 


解释 完 程 序 的 关键 代码 后 ， 我 们 讲述 SQL 语句 文件 的 构成 和 MySQL 数据 库 的 表 字 段 
和 数据 ， 以 及 如 何 利用 shell 脚本 将 Java 程序 封装 ， 并 通过 shell 脚本 的 层 层 调 用 实现 对 数 
据 库 的 定时 更 新 ， 即 动态 收集 网 络 服务 器 的 性 能 参数 信息 。 
Q 传送 到 数据 库 服务 器 的 SQL 语句 一 部 分 是 由 上 述 Java 程序 动态 生成 ， 另 一 部 分 有 关 建 立 
Tesources 和 resourcetype 表 的 SQL 语句 手工 输入 。 图 16-17 显示 了 创建 resources 表 的 SQL 
语句 ， 图 中 第 一 行 判定 是 否 已 经 存在 resources 表 ， 如 果 存 在 则 将 resources 表 删 除 ， 重 新 创 
建 ; 图 16-18 显示 了 创建 resourcetype 表 的 SQL 语句 ， 同 样 是 首先 判定 是 否 已 经 存在 
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resourcettype 表 ， 最 后 将 静态 的 信息 数据 插入 该 表 。 


DROP TABLE IF EXISTS ^resources'; 

CREATE TABLE "resources" ( 
^IP' varchar(20) NOT NULL default '', 
^epu nice" varchar(20) default NULL, 
"epu idle' varchar(20) default NULL, 
"epu speed' varchar(20) default NULL, 
"epu num' varchar(20) default NULL, 
"disk free" varchar(20) default NULL, 
"disk total' varchar(20) default NULL, 
"load fifteen" varchar(20) default NULL, 
^load five" varchar(20) default NULL, 
^load one' varchar(20) default NULL, 
"machine type^ varchar(20) default NULL, 
^men buffers' varchar(20) default NULL, 

m cached" varchar(20) default NULL, 

free" varchar(20) default NULL, 

shared' varchar(20) default NULL, 

m total' varchar(20) default NULL, 

mtu' varchar(20) default NULL, 
^os name' varchar(20) default NULL, 
^os release" varchar(20) default NULL, 
"swap free' varchar(20) default NULL, 
"swap total' varchar(20) default NULL, 
"updatetine" varchar(45) default NULL, 
^isCluster' tinyint (1) default '0' 

) ENGINE-InnoDB DEFAULT CHARSET-utf8 COMMENT-'All kinds of every node''s 


16-17 创建 resources 表 的 SQL 语句 


DROP TABLE IF EXISTS 'resourcetype'; 

CREATE TABLE "resourcerype- í 
"name" varchar(20) character set latini NOT NULL default '', 
`unit` varchar(20) character set latini NOT NULL, 
PRIMARY KEY USING BTREE (nane) 

) ENGINE-InnoDB DEFAULT CHARSET-utfS8 ROW FORMAT-DYNAMIC; 


etype 


DE "rescurcetype' DISABLE KEYS */; 
IN: s etype' (Cname^, unit') VALUES 
Au 
/' epu nice','8'), 
(cpu nun! ,'CPUs'), 
('cpu speed','Hiz'), 
('disk free','GB'), 
('disk total','GB'), 
('load fifteen',''), 
("load five',''), 
('1oad one',''), 
(machine type',''), 
('men buffers','KB'), 
('men cached','KB'), 
(men | ERU, 
('men shared','KB'), 
("mem total','KB'), 


图 16-18 创建 resourcetype 并 插入 数据 
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© 编译 执行 上 述 的 Java 程序 后 ， 各 服务 器 的 性 能 参数 就 写 入 到 MySQL 服务 器 了 ， 我 们 可 以 
测试 其 效果 : 利用 shell 登录 到 MySQL, 输入 下 面 SQL 语句 查询 两 台 服 务 器 的 信息 ， 如 
图 16-19 标注 所 示 ， 显 示 出 存放 在 数据 库 的 两 台 服 务 器 的 20 个 性 能 参数 的 数值 。 


select * from resources where IP-'172.18.12.178' or IP-'172.18.12.181' 


图 16-19 resources 中 的 数据 
使 用 下 面 命令 可 以 查看 resourcetype 表 中 的 所 有 数据 ， 如 图 16-20 所 示 。 


select * from resourcetype 


图 16-20 resourcetype 中 的 数据 
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© 为 了 方便 上 述 的 Java 程序 的 部 署 ， 我 们 将 所 有 Java 类 文件 及 SQL 文件 打包 到 一 个 文件 赤 ， 
名 字 为 NodeExplorer。 利 用 一 个 shell 脚本 run.sh 来 封装 这 些 入 口 程序 ， 也 就 是 说 只 要 执行 
run.sh 这 个 脚本 ， 就 可 以 方便 地 生成 XML 文件 、 对 其 进行 解析 并 将 解析 的 结果 存放 到 
MySQL 数据 库 ，run.sh 脚本 内 容 如 图 16-21 所 示 。 


.1.14-bin. jar 


图 16-21 run.sh 脚本 
第 一 处 标注 部 分 是 生成 服务 器 性 能 参数 的 XML 文件 ， 第 二 处 标注 部 分 是 运行 Java 程序 ， 
导入 连接 数据 库 驱 动 ， 对 XML 文件 解析 ， 并 将 解析 的 结果 存放 到 MySQL 数据 库 。 
O 为 了 实现 服务 器 性 能 参数 的 动态 更 新 ， 我 们 通过 每 个 结 点 周期 性 执行 run.sh 脚本 来 实现 ， 
因为 每 执行 一 次 run.sh 脚本 ，gmond 就 会 重新 读 取 一 次 服务 器 的 性 能 参数 ， 并 重新 存放 到 


数据 库 中 。 

而 定时 执行 某 shell 脚本 可 以 使 用 Linux 系统 的 调度 进程 cron 来 实现 ， 系 统 命 令 crontab 可 
以 用 来 设 定 系统 何 时 运行 哪个 程序 .每 一 个 用 户 都 可 以 有 一 个 crontab 文件 来 保存 调度 信息 ， 
使 用 它 运行 任意 一 个 shell 脚本 或 某 个 命令 ， 按 每 小 时 运行 一 次 ， 或 一 周三 次 等 。crontab X 


件 格式 如 下 : 分 <> 时 <> 日 <> 月 < > 星期 < > 要 运行 的 命令 ， 其 中 < > 表示 空格 ， 写 入 crontab 
文件 中 就 可 实现 程序 定时 周期 执行 。 我 们 使 用 “crontab -e” 命 令 设置 cron 调度 表 ， 写 入 如 
下 两 条 语句 : 

* * * * * /root/NodeExplorer/run.sh 

0 * * * * rm -rf /root/NodeExplorer/log.txt 

表示 每 分 钟 执行 一 次 run.sh 脚本 , 并且 每 小 时 清空 一 次 日 志文 件 log.txt, cron 设 定 如 图 16-22 
所 示 。 


图 16-22 cron 设 定 


[5] 如 图 16-23 所 示 ， 最 后 使 用 instal.sh 脚本 对 以 上 的 所 有 脚本 和 程序 作 最 后 一 道 封装 ， 执 行 
instalLsh 脚本 后 ， 它 首先 启动 gmond 进程 监控 服务 器 的 性 能 ， 然 后 启动 crontab 调度 表 ， 
crontab 按照 上 一 步 的 eron 设 定 按时 执行 相关 命令 。 
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crontab 


rer]# vi install.sh 


Æ 16-23 install.sh 脚本 对 所 有 脚本 的 封装 


的 点 评 与 拓展 :在 此 总 结 一 下 脚本 、Java 程序 的 谈 套 过 程 : install.sh 启动 了 gmond 
进程 ， 并 激活 了 crontab 调度 表 ; crontab 根据 设 定 每 分 钟 运行 一 次 run.sh 脚本 ; 每 运行 一 次 
run.sh 脚本 ，run.sh 就 从 gmond 处 获得 服务 器 的 性 能 参数 ， 利 用 Java 程序 对 XML 文件 进行 
解析 并 将 解析 的 结果 写 入 MySQL 数据 库 。 


16.3.4 网 络 服务 器 性 


以 上 三 小 节 中 甬 
网 络 服务 器 的 性 


供 的 cron 功能 每 分 外 


给 有 


页 面 的 形式 展 万 


网 页 图 形 化 显示 各 服务 器 的 


服务 器 的 配置 与 架 
及 图 形 化 显示 数据 前 
O 在 JSP 页 面 上 豆 


查询 resources 表 


设 ” 


26 


BEZ 


更 新 一 次 。 本 节 的 工作 
户 , 利用 Eclipse FRI 
Li 
中 详细 讲 
HKA 


过 


所 有 工作 归结 为 install. 
写 入 MySQL 数据 库 


进行 封装 


数 的 可 视 化 


sh 脚本 ， 执 行 了 install.sh 脚本 就 可 以 成 功 地 将 
服务 器 的 resources 表 中 ， 并 通过 Linux 系统 提 
是 要 将 所 收集 到 resources 表 中 的 信息 以 Web 
:成 .war 文件 , 来 读 取 数据 库 信 息 , 再 以 JSP 


FE 能 参数。 利用 Eclipse 开发 Web 工程 的 步骤 在 第 8 章 “Web 
本 节 不 再 详 述 ， 而 
识 ， 最 后 演示 所 开发 的 网 络 服务 器 监 
示 数 据 库 表 信 息 可 以 分 为 两 步 , 第 一 步 是 连接 MySQL 数据 库 服 务 器 , 提交 
的 SQL 语句 以 读 取 resources 表 中 所 有 数据 记录 ; 第 二 步 是 将 上 一 步 中 读 


只 是 讲述 其 中 的 JSP 关键 代码 ， 以 
系统 。 


JavaBean 是 用 Java 语言 写成 的 可 重用 


到 的 数据 记录 在 JSP 网 页 上 显示 出 来 。 
第 一 步 的 所 有 操作 我 们 用 一 个 JavaBean 3 
组 件 ， 可 以 一 次 性 编写 ， 


装 好 的 Java 类 ，JSP 调 月 
接 数据 库 、 提 交 该 SQL 


ft JSP 调用 。 第 一 次 接触 JavaBean 的 读者 可 以 将 它 看 作 是 一 个 封 
这 个 JavaBean 时 ， 传 入 所 要 执行 的 SQL 语句 ， 就 可 以 自动 实现 连 
语句 到 数据 库 服 务 器 ， 并 将 查询 结果 返回 JSP. JavaBean 又 利用 


DBManager 类 来 实现 连 


校 数 据 库 、 执 行 SQL 语句 的 功能 : DBManager 类 的 构造 函数 用 于 连 


接 MySQL 数据 库 ， 图 16-24 显示 了 它 的 关键 代码 ， 图 中 第 一 处 标注 处 是 下 载 连接 数据 库 的 
驱动 程序 ， 在 有 了 驱动 程序 的 基础 上 ， 就 可 以 使 用 getConnection 函数 连接 指定 的 MySQL 
数据 库 ， 如 图 16-24 第 二 处 标注 部 分 所 示 。 

DBManager 类 中 田 一 个 关键 函数 名 为 queryResourceInfobyIP. 我 们 知道 resources 表 以 全 地 


址 来 标识 每 个 数据 记录 ， 
的 性 能 参数 就 是 以 IP A 


JSP 显示 也 是 逐 人 台 主 机 显示 其 性 能 参数 信息 的 ， 因 此 ， 显 示 服 务 器 
查询 关键 字 将 其 他 字段 的 数据 取出 。queryResourceInfobyIP 类 就 实 


现 了 由 IP 为 关键 字 获 得 所 有 性 能 参数 的 功能 ， 它 的 入 口 参数 为 IP 地 址 。 图 16-25 显示 了 
queryResourceInfobyIP 的 代码 ,图 中 第 一 处 标注 处 是 根据 用 户 提交 的 下 地址 生成 SQL 语句 ; 
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第 二 处 标注 部 分 为 所 生成 的 SQL 语句 提交 到 MySQL 数据 库 服务 器 执行 。 DBManager 类 的 


完整 代码 参见 本 书 附带 光盘 的 DBManager.Java 文件 ,我 们 对 该 类 的 其 他 函数 也 提供 了 一 定 
的 注释 以 帮助 读者 理解 。 


， Bauchoc Hancke 
publie class Dmereger | 
privare Connection con: 
private Statement st; 


private Pesultset raranlly 


private Jtrino[] coluanWfamcsoull7 
private StrircL] conumumtsenoni: 


public DOmeneger(] | 


pon 
Ln 
V yl Drive: 
) catch (ClessIocFoanExceptior e) ( 
Systes.err.princin("wizErrer loading aysql Driver....."); 
eprintitackTrase(); 


Bysten.enitlllz 
D 


tey (AEREE 


geuscie" r seugrid"h; 


16-24 DBManager 类 构造 函数 的 代码 


^ UB YLIMS NE DROP A n PES 


A uEKXEgT ADM. 
"&EEsHseaunTus. 


ing L) quergesonecetntoEyTE ( 
Tsrygcrruly 


ittcoluatKenesesnall) ( 
ahnwanessnew Srringln]: 


SuarySsz[i]-ravgetstrtagtitl) s 


) 
Delse ceturn nuli; 

) cetch (SüLxceptien el t 
11 TODO ato-gemeratad catch block 
princstackTrace | |; 


) 
renum que 


16-25 queryResourcelnfobylP 函数 的 代码 
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resourceInfo.jsp 作为 Web 工程 下 面 的 子 文件 ， 负 责 调用 JavaBean 获得 指定 IP 服务 器 的 性 
能 参数 ， 并 分 别 以 文字 的 形式 和 图 形 的 形式 显示 。 图 16-26 显示 了 resourceInfo.jsp 用 于 查询 
数据 库 并 以 文字 形式 显示 性 能 参数 的 代码 ， 第 一 处 标注 的 代码 为 向 DBManager 提交 查询 
SQL 语句 ， 返 回 的 结果 保存 在 resourceInfo 数组 中 。 大 括号 标注 部 分 表示 将 resourceInfo 数 
组 显示 在 Web 页 面 上 。 

以 图 形 化 显示 性 能 参数 信息 ， 我 们 使 用 JFreeChart 来 实现 。JFreeChart 是 Java 平台 上 的 一 
个 开放 的 图 表 绘 制 类 库 , 它 完全 使 用 Java 语言 编写 , 是 为 Java applications. applets, servlets 
以 及 JSP 等 使 用 所 设计 的 。JFreeChart 可 生成 饼 图 (pie charts)、 柱 状 图 (bar charts)、 散 点 图 
(scatter plots)、 时 序 图 (time series)、 甘 特 图 (Gantt charts) 等 多 种 图 表 ， 并 且 可 以 产生 PNG 和 
JPEG 格式 的 输出 。 图 16-27 显示 了 利用 JFreeChart 绘制 磁盘 信息 饼 图 的 代码 ， 其 中 的 标注 
部 分 是 JFreeChart 获取 磁盘 数据 的 函数 。 


<$ 
IP = request, getParameter ("IP") ; 
if (IP '= null) ( 
xesourceInfo = database.queryResourceInfoByIP 
if (resourceInfo != null) ( 
columnNames = database.getColumnNames(); 
colunnUnits = database. getColumnUnits (); 
out.println("«p»The «font color=\"red\">red font</font> information is dynamic 
resource.c/p»«p»enbsp;«/p»") 3 
for (int i = 0; i < resourceInfo.length; i+) ( 
out.println("«po" ); 
$038 S s EUR FB B. n S nO EL 
if(i==211i==511i==711i==<811i==<911i==1311i==19) 
out.println("cfont coloreV'redV"»"); 
out.println(columnNames[i] + ":enbsp;cnbsp:;" 
+ resourceInfo[i] + "cnbsp;cnbsp;" 
+ columnUnits[i] ); 
if(i==2|li==5] li==7] |i==8] li==9] |i==13] li==19) 
out.printin(”</font>") ; 
out.printin("</p>"); 
} 


) 
else out.println("«p»IP address:cnbsp;"*IP4"cnbsp;does not exist, please check your input!"4"/p»"); 


) 
else out.printin("£p»You do not input any IP address, please input an IP address!c/p»"); 
» 


16-26 resourcelnfo.jsp 显示 性 能 参数 部 分 代码 


<p>Visual Displayc/p» 
<!-- 数 据 可 视 化 代码 ，Disk ORI 
«x 

String titlele"Disk Volumn"; 
Defa 


JFreeChart chartl =ChartFactory.createPieChart(titlel, piedatal, true, true, true); 
chartl. setTitle(new TextTitle(titlel,new Font("Neu Times Ronan", Font. ITALIC, 15))); 


PiePlot plotl-(PiePlot) chartl.getPlot(); 


//ChartRenderingInfo info-new ChartRenderingInfo(new StandardEntityCollection()):; 
String fileNamel-ServletUtilities.saveChartAs]PEG(chartl, 400,300, null,session); 
String urllerequest.getContextPath()4" /servlet/DisplayChart2filename-"4fileNamel; 
Systen.out.println("url:"4urll); 

> 


图 16-27 利用 JFreeChart 图 形 化 显示 部 分 代码 
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© 将 完整 的 war 文件 部 署 到 Tomcat 服务 器 后 , 首页 提供 各 网 络 服务 器 的 查询 功能 , 如 图 16-28 
所 示 。 输 入 172.18.12.178， 单 击 Submit Query 按钮 ， 弹 出 如 图 16-29 所 示 的 界面 ， 窗 口 左 
侧 以 文字 形式 显示 了 172.18.12.178 这 合 服务 器 的 性 能 参数 ， 其 中 红字 显示 的 参数 为 动态 参 
数 ; 窗口 右 侧 绘制 了 磁盘 、 内 存 和 交换 区 的 可 用 空间 与 剩余 空间 之 问 关系 的 饼 图 。 


F Search nodes" resources inforaation - Microsoft Internet Explorer EAR) 
Xi REO SEV PRW IAU WB LJ 


O.: 0 ign Pss does € 2-2 - J£ 


MEON — atepez ttt 18 12 78 9090 per Forman e/ rodea. jer vss m” €- 


Search nodes! information 


mam uem 
peri [Ren] 
Information Display Arca 
arr LII E 


图 16-28 服务 器 查询 
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图 16-29 显示 网 络 服务 器 的 性 能 参数 
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的 点 评 与 拓展 :。 本 节 讲 述 了 利用 JavaBean 和 JSP 技术 实现 网 页 与 数据 库 的 交互 ， 
着 重 讲述 了 JavaBean, JSP 代码 内 模块 的 意义 ， 开 发 JSP 和 部 署 Web 工程 到 Tomcat 的 步骤 
与 第 8 章 中 相同 。 


164 本 章 小 结 


本 章 首先 介绍 了 网 络 服务 器 监控 的 意义 、 特 点 和 难点 ， 以 及 国际 上 的 研究 与 监控 系统 
实现 的 现状 , 指出 网 络 服务 器 监控 已 经 成 为 架设 Linux 服务 器 必须 要 面 对 的 重要 问题 。 接 着 ， 
本 章 以 当今 分 布 式 计算 中 的 服务 器 监控 案例 为 背景 , 结合 Ganglia, MySQL. shell 脚本 、Java、 
Web 服务 器 及 JSP 开发 等 前 面 章节 的 知识 和 实用 技术 ， 实 现 了 一 个 较为 复杂 的 网 络 服务 器 
性 能 监控 系统 ， 重 点 讲述 了 整个 系统 中 功能 模块 的 划分 ， 以 及 每 个 模块 利用 何 种 技术 来 实 
现 ， 并 对 各 种 技术 中 的 关键 部 分 作 了 解释 。 实 际 上 ， 实 现 某 些 功 能 模块 所 用 到 的 技术 可 能 
不 是 惟一 的 ， 但 是 设计 和 开发 大 型 系统 的 思路 却 是 一 致 的 。 
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